Ubuntu

Installation et configuration d'UFW dans Ubuntu 20.04 LTS

Installation et configuration d'UFW dans Ubuntu 20.04 LTS
UFW, ou Uncomplicated Firewall, est une interface conviviale pour Linux iptables. UFW est écrit en Python (prend en charge Python 3.5 et supérieur) et est l'utilitaire actuel de gestion de pare-feu de facto dans les systèmes Ubuntu. Cet utilitaire est très convivial et agit comme un excellent pare-feu basé sur l'hôte.

Cet article vous montre comment installer et utiliser UFW sur votre Ubuntu 20.04 Système LTS.

Installation

UFW est pré-installé sur la plupart des systèmes Ubuntu. Si ce programme n'est pas déjà installé dans votre build, vous pouvez l'installer à l'aide des gestionnaires de packages snap ou apt.$ sudo snap install ufw

$ sudo apt installer ufw

Personnellement, je préfère utiliser le gestionnaire de packages apt pour le faire car snap est moins populaire et je ne veux pas avoir cette complexité supplémentaire. Au moment d'écrire ces lignes, la version publiée pour UFW est 0.36 pour le 20.04 sortie.

Entrant vs. Trafic sortant

Si vous êtes un débutant dans le monde des réseaux, la première chose que vous devez clarifier est la différence entre le trafic entrant et sortant.

Lorsque vous installez des mises à jour à l'aide d'apt-get, naviguez sur Internet ou consultez vos e-mails, vous envoyez des requêtes « sortantes » à des serveurs, tels que Ubuntu, Google, etc. Pour accéder à ces services, vous n'avez même pas besoin d'une IP publique. Habituellement, une seule adresse IP publique est allouée pour, par exemple, une connexion haut débit domestique, et chaque appareil obtient sa propre adresse IP privée. Le routeur gère ensuite le trafic à l'aide de quelque chose appelé NAT ou Network Address Translation.

Les détails des adresses NAT et IP privées dépassent le cadre de cet article, mais la vidéo liée ci-dessus est un excellent point de départ. Pour en revenir à UFW, par défaut, UFW autorisera tout le trafic Web sortant régulier. Vos navigateurs, gestionnaires de paquets et autres programmes choisissent un numéro de port aléatoire - généralement un nombre supérieur à 3000 - et c'est ainsi que chaque application peut suivre sa ou ses connexions.

Lorsque vous exécutez des serveurs dans le cloud, ils sont généralement fournis avec une adresse IP publique et les règles ci-dessus d'autorisation du trafic sortant sont toujours valables. Parce que vous utiliserez toujours des utilitaires, comme les gestionnaires de paquets, qui parlent au reste du monde en tant que « client », UFW l'autorise par défaut.

Le plaisir commence avec le trafic entrant. Les applications, comme le serveur OpenSSH que vous utilisez pour vous connecter à votre machine virtuelle, écoutent sur des ports spécifiques (comme 22) pour entrant demandes, comme le font d'autres applications. Les serveurs Web doivent accéder aux ports 80 et 443.

Cela fait partie du travail d'un pare-feu de permettre à des applications spécifiques d'écouter certains trafics entrants tout en bloquant tous ceux qui sont inutiles. Vous pouvez avoir un serveur de base de données installé sur votre machine virtuelle, mais il n'a généralement pas besoin d'écouter les requêtes entrantes sur l'interface avec une IP publique. Habituellement, il écoute simplement sur l'interface de bouclage les demandes.

Il existe de nombreux robots sur le Web, qui bombardent constamment les serveurs de fausses demandes pour forcer leur chemin ou pour effectuer une simple attaque par déni de service. Un pare-feu bien configuré devrait pouvoir bloquer la plupart de ces manigances à l'aide de plugins tiers comme Fail2ban.

Mais, pour l'instant, nous allons nous concentrer sur une configuration très basique.

Utilisation de base

Maintenant que vous avez installé UFW sur votre système, nous allons examiner quelques utilisations de base de ce programme. Étant donné que les règles de pare-feu sont appliquées à l'ensemble du système, les commandes ci-dessous sont exécutées en tant qu'utilisateur root. Si vous préférez, vous pouvez utiliser sudo avec les privilèges appropriés pour cette procédure.

# statut ufw
Statut : inactif

Par défaut, UFW est dans un état inactif, ce qui est une bonne chose. Vous ne voulez pas bloquer tout le trafic entrant sur le port 22, qui est le port SSH par défaut. Si vous êtes connecté à un serveur distant via SSH et que vous bloquez le port 22, vous serez exclu du serveur.

UFW nous permet de percer facilement un trou juste pour OpenSSH. Exécutez la commande ci-dessous :

[email protected] :~# liste d'applications ufw
Applications disponibles :
OpenSSH

Notez que je n'ai toujours pas activé le pare-feu. Nous allons maintenant ajouter OpenSSH à notre liste d'applications autorisées, puis activer le pare-feu. Pour ce faire, entrez les commandes suivantes :

# ufw autorise OpenSSH
Règles mises à jour
Règles mises à jour (v6)
# ufw activer

La commande peut perturber les connexions SSH existantes. Procéder à l'opération (y|n)? oui.

Le pare-feu est maintenant actif et activé au démarrage du système.

Félicitations, UFW est maintenant actif et en cours d'exécution. UFW permet désormais uniquement à OpenSSH d'écouter les requêtes entrantes sur le port 22. Pour vérifier l'état de votre pare-feu à tout moment, exécutez le code suivant :

# statut ufw
Statut : actif
À l'action de
-- ------ ----
OpenSSH AUTORISER n'importe où
OpenSSH (v6) AUTORISER n'importe où (v6)

Comme vous pouvez le voir, OpenSSH peut désormais recevoir des requêtes de n'importe où sur Internet, à condition qu'il l'atteigne sur le port 22. La ligne v6 indique que les règles sont appliquées pour IPv6, ainsi.

Vous pouvez bien sûr interdire des plages d'adresses IP particulières ou autoriser uniquement une plage d'adresses IP particulière, en fonction des contraintes de sécurité dans lesquelles vous travaillez.

Ajout d'applications

Pour les applications les plus populaires, la commande ufw app list met automatiquement à jour sa liste de politiques lors de l'installation. Par exemple, lors de l'installation du serveur Web Nginx, vous verrez apparaître les nouvelles options suivantes :

# apt installer nginx
# liste d'applications ufw
Applications disponibles :
Nginx plein
HTTP Nginx
HTTPS Nginx
OpenSSH

Allez-y et essayez d'expérimenter ces règles. Notez que vous pouvez simplement autoriser les numéros de port, plutôt que d'attendre que le profil d'une application s'affiche. Par exemple, pour autoriser le port 443 pour le trafic HTTPS, utilisez simplement la commande suivante :

# ufw autoriser 443
# statut ufw
Statut : actif
À l'action de
-- ------ ----
OpenSSH AUTORISER n'importe où
443 AUTORISER n'importe où
OpenSSH (v6) AUTORISER n'importe où (v6)
443 (v6) AUTORISER n'importe où (v6)

Conclusion

Maintenant que vous avez trié les bases d'UFW, vous pouvez explorer d'autres fonctionnalités de pare-feu puissantes, en commençant par autoriser et bloquer des plages d'adresses IP. Des politiques de pare-feu claires et sécurisées assureront la sécurité et la protection de vos systèmes.

Comment capturer et diffuser votre session de jeu sur Linux
Dans le passé, jouer à des jeux n'était considéré qu'un passe-temps, mais avec le temps, l'industrie du jeu a connu une croissance énorme en termes de...
Meilleurs jeux à jouer avec le suivi des mains
Oculus Quest a récemment introduit l'idée géniale du suivi manuel sans contrôleurs. Avec un nombre toujours croissant de jeux et d'activités qui exécu...
Comment afficher la superposition OSD dans les applications et jeux Linux en plein écran
Jouer à des jeux en plein écran ou utiliser des applications en mode plein écran sans distraction peut vous couper des informations système pertinente...