{"id":866,"date":"2022-05-08T16:51:00","date_gmt":"2022-05-08T14:51:00","guid":{"rendered":"https:\/\/techtocraft.xyz\/?p=866"},"modified":"2022-06-09T12:58:06","modified_gmt":"2022-06-09T10:58:06","slug":"debian-ufw-firewall-ez","status":"publish","type":"post","link":"https:\/\/hinakuu.xyz\/?p=866","title":{"rendered":"Debian UFW Firewall Ez"},"content":{"rendered":"\n
\"\"<\/figure>\n\n\n\n

UFW est un outil de configuration simplifi\u00e9 en ligne de commande de Netfilter, qui donne une alternative \u00e0 l’outil iptables. UFW devrait \u00e0 terme permettre une configuration automatique du pare-feu lors de l’installation de programmes en ayant besoin.<\/p>\n\n\n\n

Source : https:\/\/doc.ubuntu-fr.org\/ufw<\/a><\/p>\n\n\n\n

L’ordre de d\u00e9claration des r\u00e8gles est tr\u00e8s important, le syst\u00e8me utilisant une politique \u00ab premier arriv\u00e9, premier servi \u00bb. Prenez donc soin d’ajouter vos r\u00e8gles sp\u00e9cifiques avant les r\u00e8gles g\u00e9n\u00e9rales lorsqu’elles concernent des \u00e9l\u00e9ments communs.<\/p>\n\n\n\n

Activer \/ D\u00e9sactiver UFW<\/mark><\/a><\/h4>\n\n\n\n

L’outil UFW n’est pas activ\u00e9 par d\u00e9faut, il vous faut donc avoir les droits administrateur en ligne de commande.<\/p>\n\n\n\n

V\u00e9rifier le statut actuel :<\/p>\n\n\n\n

sudo ufw status<\/pre>\n\n\n\n
\u00c9tat : actif ou inactif<\/p>\n\n\n\n
Activer UFW : ( c’est \u00e0 dire appliquer les r\u00e8gles d\u00e9finies)<\/p>\n\n\n\n
sudo ufw enable<\/pre>\n\n\n\n
D\u00e9sactiver UFW : (c’est \u00e0 dire ne plus appliquer les r\u00e8gles d\u00e9finies)<\/p>\n\n\n\n
sudo ufw disable<\/pre>\n\n\n\n
Modifier<\/p>\n\n\n\n
Afficher l’\u00e9tat actuel des r\u00e8gles<\/mark><\/a><\/h4>\n\n\n\n
Une unique commande qui vous permettra de jeter un \u0153il sur la totalit\u00e9 des instructions que vous avez indiqu\u00e9es \u00e0 UFW :<\/p>\n\n\n\n
sudo ufw status verbose<\/pre>\n\n\n\n
Cette commande devrait vous afficher quelque chose comme \u00e7a :<\/p>\n\n\n\n
\u00c9tat : actif\nJournalisation : on (low)\nDefault: deny (incoming), allow (outgoing), disabled (routed)\nNouveaux profils : skip<\/mark>\n\nVers                       Action      De\n----                       ------      --\n80                         DENY IN     Anywhere\n443                        ALLOW IN    Anywhere\n22                         ALLOW IN    Anywhere\n192.168.0.2 995            ALLOW IN    Anywhere\n8082\/tcp                   DENY IN     10.0.0.0\/8\n25\/tcp                     ALLOW IN    192.168.0.0\/24\n80 (v6)                    DENY IN     Anywhere (v6)\n443 (v6)                   ALLOW IN    Anywhere (v6)\n22 (v6)                    ALLOW IN    Anywhere (v6)\n\n23\/tcp                     DENY OUT    Anywhere\n23\/tcp (v6)                DENY OUT    Anywhere (v6)<\/mark><\/pre>\n\n\n\n
L’argument verbose<\/code> est optionnel, cependant il est vivement recommand\u00e9 car il permet d’afficher la direction du trafic dans les r\u00e8gles (IN : entrant, OUT : sortant)<\/p>\n\n\n\n
Description du contenu<\/a><\/h4>\n\n\n\n
Journalisation : on (low)<\/pre>\n\n\n\n
Indique que la journalisation est activ\u00e9e, vous pouvez retrouver toutes les interactions du pare-feu dans le fichier \/var\/log\/ufw.log<\/strong> . Vous pouvez activer ou d\u00e9sactiver cette journalisation, voir ici.<\/p>\n\n\n\n
Default: deny (incoming), allow (outgoing), disabled (routed)<\/pre>\n\n\n\n
Concerne les r\u00e8gles par d\u00e9faut de UFW, voir la rubrique gestion des r\u00e8gles par d\u00e9faut pour son param\u00e9trage.<\/p>\n\n\n\n
Vers                       Action      De\n----                       ------      --\n80                         DENY IN     Anywhere\n443                        ALLOW IN    Anywhere\n[...]\n23\/tcp (v6)                DENY OUT    Anywhere (v6)<\/mark><\/pre>\n\n\n\n
Liste toutes les r\u00e8gles que vous avez indiqu\u00e9es au pare-feu. (V6) correspond aux r\u00e8gles adapt\u00e9es pour l’IPv6, celles qui n’ont pas cette pr\u00e9cision sont adapt\u00e9es pour l’IPv4. Pour l\u2019\u00e9dition de ces r\u00e8gles, voir la rubrique concernant l\u2019\u00e9dition des r\u00e8gles.<\/p>\n\n\n\n
Num\u00e9ro de r\u00e8gle<\/a><\/h4>\n\n\n\n
Vous pouvez afficher les r\u00e8gles num\u00e9rot\u00e9es.<\/p>\n\n\n\n
sudo ufw status numbered<\/pre>\n\n\n\n
Gestion des r\u00e8gles par d\u00e9faut<\/mark><\/a><\/h4>\n\n\n\n
Lorsque UFW est activ\u00e9, par d\u00e9faut le trafic entrant est refus\u00e9 et le trafic sortant est autoris\u00e9. C’est en g\u00e9n\u00e9ral le r\u00e9glage \u00e0 privil\u00e9gier, cependant vous pouvez tout de m\u00eame modifier ces r\u00e8gles.<\/p>\n\n\n\n
Autoriser le trafic entrant suivant les r\u00e8gles par d\u00e9faut :<\/p>\n\n\n\n
sudo ufw default allow<\/pre>\n\n\n\n
Refuser le trafic entrant suivant les r\u00e8gles par d\u00e9faut :<\/p>\n\n\n\n
sudo ufw default deny<\/pre>\n\n\n\n
Autoriser le trafic sortant suivant les r\u00e8gles par d\u00e9faut :<\/p>\n\n\n\n
sudo ufw default allow outgoing<\/pre>\n\n\n\n
Refuser le trafic sortant suivant les r\u00e8gles par d\u00e9faut :<\/p>\n\n\n\n
sudo ufw default deny outgoing<\/pre>\n\n\n\n
Les commandes de base<\/mark><\/a><\/h4>\n\n\n\n
Activer\/d\u00e9sactiver la journalisation<\/a><\/h4>\n\n\n\n
Activer la journalisation :<\/p>\n\n\n\n
sudo ufw logging on<\/pre>\n\n\n\n
D\u00e9sactiver la journalisation :<\/p>\n\n\n\n
sudo ufw logging off<\/pre>\n\n\n\n
Ajouter\/supprimer des r\u00e8gles<\/a><\/h4>\n\n\n\n
Autoriser une connexion entrante :<\/p>\n\n\n\n
sudo ufw allow [r\u00e8gle]<\/pre>\n\n\n\n
Refuser une connexion entrante :<\/p>\n\n\n\n
sudo ufw deny [r\u00e8gle]<\/pre>\n\n\n\n
Refuser une IP entrante :Si vous voulez bloquer une IP sur tous vos services, il faut le faire \u00ab\u00a0avant\u00a0\u00bb les autorisations existantes. D’o\u00f9 le \u00ab\u00a0insert 1\u00a0\u00bb qui met ce \u00ab\u00a0deny\u00a0\u00bb avant tous les \u00ab\u00a0allow\u00a0\u00bb. Dans le cas d’une s\u00e9rie d’IP \u00e0 bloquer vous pouvez utiliser \u00e0 chaque entr\u00e9e le \u00ab\u00a0insert 1\u00a0\u00bb, pas besoin de sp\u00e9cifier dans le cas pr\u00e9sent une autre place<\/p>\n\n\n\n
sudo ufw insert 1 deny from [ip]<\/pre>\n\n\n\n
Refuser une connexion entrante, uniquement en TCP :<\/p>\n\n\n\n
sudo ufw deny [port]\/tcp<\/pre>\n\n\n\n
Refuser une connexion sortante :<\/p>\n\n\n\n
sudo ufw deny out [r\u00e8gle]<\/pre>\n\n\n\n
Supprimer une r\u00e8gle :<\/p>\n\n\n\n
sudo ufw delete allow [r\u00e8gle]\nsudo ufw delete deny [r\u00e8gle]<\/pre>\n\n\n\n
Supprimer simplement une r\u00e8gle d’apr\u00e8s son num\u00e9ro :<\/p>\n\n\n\n
sudo ufw delete [num\u00e9ro]<\/pre>\n\n\n\n