Pare-feu Linux : iptables
Table des matières:
- Conditions préalables
- Installer UFW
- Vérifier l'état UFW
- Stratégies par défaut UFW
- Profils d'application
- Autoriser les connexions SSH
- Activer UFW
- Autoriser les connexions sur d'autres ports
- Port ouvert 80 - HTTP
- Port ouvert 443 - HTTPS
- Port ouvert 8080
- Autoriser les plages de ports
- Autoriser des adresses IP spécifiques
- Autoriser des adresses IP spécifiques sur un port spécifique
- Autoriser les sous-réseaux
- Autoriser les connexions à une interface réseau spécifique
- Refuser les connexions
- Supprimer les règles UFW
- Désactiver UFW
- Réinitialiser UFW
- Conclusion
Debian comprend plusieurs paquets qui fournissent des outils pour gérer un pare-feu avec iptables installé dans le cadre du système de base. Il peut être compliqué pour les débutants d'apprendre à utiliser l'outil iptables pour configurer et gérer correctement un pare-feu, mais UFW le simplifie.
UFW (Uncomplicated Firewall) est un frontal convivial pour la gestion des règles de pare-feu iptables et son objectif principal est de faciliter la gestion d'iptables ou, comme son nom l'indique, simple.
Dans ce tutoriel, nous vous montrerons comment configurer un pare-feu avec UFW sur Debian 9.
Conditions préalables
Avant de poursuivre ce didacticiel, assurez-vous que l'utilisateur auquel vous êtes connecté dispose des privilèges sudo.
Installer UFW
UFW n'est pas installé par défaut dans Debian 9. Vous pouvez installer le paquet
ufw
en tapant:
Vérifier l'état UFW
Une fois le processus d'installation terminé, vous pouvez vérifier l'état d'UFW avec la commande suivante:
sudo ufw status verbose
La sortie ressemblera à ceci:
Status: inactive
UFW est désactivé par défaut. L'installation n'activera pas automatiquement le pare-feu pour éviter un verrouillage du serveur.
Si UFW est activé, la sortie ressemblera à ce qui suit:
Stratégies par défaut UFW
Par défaut, UFW bloquera toutes les connexions entrantes et autorisera toutes les connexions sortantes. Cela signifie que toute personne essayant d'accéder à votre serveur ne pourra se connecter que si vous ouvrez spécifiquement le port, tandis que toutes les applications et tous les services exécutés sur votre serveur pourront accéder au monde extérieur.
Les politiques par défaut sont définies dans le fichier
/etc/default/ufw
et peuvent être modifiées à l'aide du
sudo ufw default
Les politiques de pare-feu sont le fondement de la création de règles plus détaillées et définies par l'utilisateur. Dans la plupart des cas, les politiques par défaut UFW initiales sont un bon point de départ.
Profils d'application
Lors de l'installation d'un package avec
apt
il ajoutera un profil d'application au répertoire
/etc/ufw/applications.d
qui décrit le service et contient les paramètres UFW.
Pour répertorier tous les profils d'application disponibles sur votre système, tapez:
sudo ufw app list
Selon les packages installés sur votre système, la sortie ressemblera à ce qui suit:
Available applications: DNS IMAP IMAPS OpenSSH POP3 POP3S Postfix Postfix SMTPS Postfix Submission…
Pour trouver plus d'informations sur un profil spécifique et les règles incluses, utilisez la commande suivante:
sudo ufw app info OpenSSH
Profile: OpenSSH Title: Secure shell server, an rshd replacement Description: OpenSSH is a free implementation of the Secure Shell protocol. Port: 22/tcp
A La sortie ci-dessus nous indique que le profil OpenSSH ouvre le port
22
.
Autoriser les connexions SSH
Avant d'activer le pare-feu UFW, nous devons d'abord autoriser les connexions SSH entrantes.
Si vous vous connectez à votre serveur depuis un emplacement distant, ce qui est presque toujours le cas et que vous activez le pare-feu UFW avant d'autoriser explicitement les connexions SSH entrantes, vous ne pourrez plus vous connecter à votre serveur Debian.
Pour configurer votre pare-feu UFW pour autoriser les connexions SSH entrantes, exécutez la commande suivante:
sudo ufw allow OpenSSH
Rules updated Rules updated (v6)
Si le serveur SSH écoute sur un port autre que le port par défaut 22, vous devrez ouvrir ce port.
Par exemple, votre serveur ssh écoute sur le port
8822
, vous pouvez alors utiliser la commande suivante pour autoriser les connexions sur ce port:
Activer UFW
Maintenant que votre pare-feu UFW est configuré pour autoriser les connexions SSH entrantes, vous pouvez l'activer en exécutant:
sudo ufw enable
Command may disrupt existing ssh connections. Proceed with operation (y|n)? y Firewall is active and enabled on system startup
Vous serez averti que l'activation du pare-feu peut perturber les connexions ssh existantes, tapez simplement
y
et appuyez sur
Enter
.
Autoriser les connexions sur d'autres ports
Selon les applications qui s'exécutent sur votre serveur et vos besoins spécifiques, vous devrez également autoriser l'accès entrant à certains autres ports.
Vous trouverez ci-dessous plusieurs exemples de la façon d'autoriser les connexions entrantes vers certains des services les plus courants:
Port ouvert 80 - HTTP
Les connexions HTTP peuvent être autorisées avec la commande suivante:
sudo ufw allow
Au lieu du profil
http
, vous pouvez utiliser le numéro de port,
80
:
Port ouvert 443 - HTTPS
Les connexions HTTP peuvent être autorisées avec la commande suivante:
sudo ufw allow
Pour obtenir la même chose au lieu de
https
vous pouvez utiliser le numéro de port,
443
:
Port ouvert 8080
Autoriser les plages de ports
Avec UFW, vous pouvez également autoriser l'accès aux plages de ports. Lorsque vous autorisez des plages de ports avec UFW, vous devez spécifier le protocole,
tcp
ou
udp
.
Par exemple, pour autoriser les ports de
7100
à
7200
sur
tcp
et
udp
, exécutez la commande suivante:
sudo ufw allow 7100:7200/tcp
sudo ufw allow 7100:7200/udp
Autoriser des adresses IP spécifiques
sudo ufw allow from 64.63.62.61
Autoriser des adresses IP spécifiques sur un port spécifique
Pour autoriser l'accès sur un port spécifique, disons que le port 22 de votre machine de travail avec une adresse IP de 64.63.62.61 utilise la commande suivante:
sudo ufw allow from 64.63.62.61 to any port 22
Autoriser les sous-réseaux
La commande permettant d'autoriser la connexion à un sous-réseau d'adresses IP est la même que lorsque vous utilisez une seule adresse IP, la seule différence est que vous devez spécifier le masque de réseau. Par exemple, si vous souhaitez autoriser l'accès à des adresses IP allant de 192.168.1.1 à 192.168.1.254 au port 3360 (MySQL), vous pouvez utiliser cette commande:
sudo ufw allow from 192.168.1.0/24 to any port 3306
Autoriser les connexions à une interface réseau spécifique
Pour autoriser l'accès sur un port spécifique, disons le port 3360 uniquement à l'interface réseau spécifique
eth2
, utilisez
allow in on
et le nom de l'interface réseau:
sudo ufw allow in on eth2 to any port 3306
Refuser les connexions
La stratégie par défaut pour toutes les connexions entrantes est définie sur
deny
ce qui signifie que UFW bloquera toutes les connexions entrantes, sauf si vous ouvrez spécifiquement la connexion.
Supposons que vous ayez ouvert les ports
80
et
443
et que votre serveur soit attaqué par le réseau
23.24.25.0/24
. Pour refuser toutes les connexions à partir du
23.24.25.0/24
, utilisez la commande suivante:
sudo ufw deny from 23.24.25.0/24
sudo ufw deny from 23.24.25.0/24 to any port 80
sudo ufw deny from 23.24.25.0/24 to any port 443
L'écriture de règles de refus est identique à l'écriture de règles d'autorisation, il vous suffit de remplacer
allow
par
deny
.
Supprimer les règles UFW
Il existe deux façons différentes de supprimer des règles UFW, par numéro de règle et en spécifiant la règle réelle.
La suppression de règles UFW par numéro de règle est plus facile, surtout si vous débutez avec UFW.
Pour supprimer une règle par un numéro de règle, vous devez d'abord trouver le numéro de la règle que vous souhaitez supprimer. Pour ce faire, exécutez la commande suivante:
sudo ufw status numbered
Status: active To Action From -- ------ ---- 22/tcp ALLOW IN Anywhere 80/tcp ALLOW IN Anywhere 8080/tcp ALLOW IN Anywhere
Pour supprimer la règle numéro 3, la règle qui autorise les connexions au port 8080, vous pouvez utiliser la commande suivante:
sudo ufw delete 2
La deuxième méthode consiste à supprimer une règle en spécifiant la règle réelle. Par exemple, si vous avez ajouté une règle pour ouvrir le port
8069
vous pouvez la supprimer avec:
Désactiver UFW
Si, pour une raison quelconque, vous souhaitez arrêter UFW et désactiver toutes les règles, exécutez:
sudo ufw disable
Plus tard, si vous souhaitez réactiver UTF et activer toutes les règles, tapez simplement:
Réinitialiser UFW
La réinitialisation d'UFW désactivera UFW et supprimera toutes les règles actives. Cela est utile si vous souhaitez annuler toutes vos modifications et recommencer à zéro.
Pour réinitialiser UFW, tapez simplement la commande suivante:
Conclusion
Vous avez appris à installer et configurer le pare-feu UFW sur votre machine Debian 9. Assurez-vous d'autoriser toutes les connexions entrantes qui sont nécessaires au bon fonctionnement de votre système, tout en limitant toutes les connexions inutiles.
ufw firewall iptables debian securityConfigurer et configurer Outlook pour travailler avec un compte de messagerie en langue indienne
Apprenez comment configurer et configurer Outlook pour qu`il travaille avec les langues indiennes. Les étapes impliquent la configuration de votre compte e-mail en utilisant la configuration IMAP habituelle.
Comment configurer, configurer, utiliser le contrôle parental dans Windows 7
Apprenez comment activer, désactiver, configurer et utiliser la fonction de contrôle parental dans Windows 7 pour surveiller et contrôler les activités Internet des enfants.
Comment configurer le serveur ftp avec vsftpd sur debian 9
Dans ce tutoriel, nous allons installer vsftpd. Il s'agit d'un serveur FTP stable, sécurisé et rapide. Nous vous montrerons également comment configurer vsftpd pour restreindre les utilisateurs à leur répertoire personnel et crypter toute la transmission avec SSL / TLS.