introduction
Ubuntu est un système d'exploitation Linux très populaire parmi les administrateurs de serveurs en raison des fonctionnalités avancées fournies par défaut. L'une de ces fonctionnalités est le pare-feu, qui est un système de sécurité qui surveille les connexions réseau entrantes et sortantes pour prendre des décisions en fonction des règles de sécurité prédéfinies. Pour définir de telles règles, le pare-feu doit être configuré avant son utilisation, et ce guide montre comment activer et configurer facilement le pare-feu dans Ubuntu ainsi que d'autres conseils utiles pour configurer le pare-feu.
Comment activer le pare-feu
Par défaut, Ubuntu est livré avec un pare-feu, appelé UFW (pare-feu simple), qui est suffisant, ainsi que d'autres packages tiers pour sécuriser le serveur contre les menaces externes. Cependant, comme le pare-feu n'est pas activé, il doit être activé avant tout. Utilisez la commande suivante pour activer l'UFW par défaut dans Ubuntu.
- Tout d'abord, vérifiez l'état actuel du pare-feu pour vous assurer qu'il est vraiment désactivé. Pour obtenir le statut détaillé, utilisez-le avec la commande verbeuse.
statut sudo ufw
sudo ufw statut verbeux
- S'il est désactivé, la commande suivante l'active
sudo ufw activer
- Une fois le pare-feu activé, redémarrez le système pour que les modifications prennent effet. Le paramètre r est utilisé pour indiquer que la commande est pour le redémarrage, le paramètre now est pour indiquer que le redémarrage doit être effectué immédiatement sans délai.
sudo shutdown -r maintenant
Bloquer tous les trafics avec le pare-feu
UFW, par défaut, bloque/autorise tous les trafics à moins qu'il ne soit remplacé par des ports spécifiques. Comme on le voit dans les captures d'écran ci-dessus, ufw bloque tous les trafics entrants et autorise tout le trafic sortant. Cependant, avec les commandes suivantes, tout le trafic peut être désactivé sans aucune exception. Ce que cela fait efface toutes les configurations UFW et refuse l'accès à partir de n'importe quelle connexion.
sudo ufw réinitialiser
sudo ufw par défaut nier entrant
sudo ufw par défaut refuser sortant
Comment activer le port pour HTTP?
HTTP signifie protocole de transfert hypertexte, qui définit la façon dont un message est formaté lors de sa transmission sur n'importe quel réseau, tel que le réseau mondial, alias Internet. Étant donné qu'un navigateur Web, par défaut, se connecte au serveur Web via le protocole HTTP pour interagir avec le contenu, le port qui appartient à HTTP doit être activé. De plus, si le serveur Web utilise SSL/TLS (secure socket layer/transport layer security), alors HTTPS doit également être autorisé.
sudo ufw autoriser http
sudo ufw autoriser https
Comment activer le port pour SSH?
SSH signifie Secure Shell, qui est utilisé pour se connecter à un système via un réseau, généralement via Internet ; par conséquent, il est largement utilisé pour se connecter aux serveurs sur Internet à partir de la machine locale. Comme, par défaut, Ubuntu bloque toutes les connexions entrantes, y compris SSH, il doit être activé pour accéder au serveur via Internet.
sudo ufw autoriser ssh
Si SSH est configuré pour utiliser un port différent, le numéro de port doit être explicitement indiqué au lieu du nom du profil.
sudo ufw autoriser 1024
Comment activer le port pour TCP/UDP
TCP, alias protocole de contrôle de transmission, définit comment établir et maintenir une conversation réseau afin que l'application échange des données. Par défaut, un serveur Web utilise le protocole TCP ; par conséquent, il doit être activé, mais heureusement, l'activation d'un port active également le port pour TCP/UDP à la fois. Cependant, si le port particulier est destiné à activer uniquement pour TCP ou UDP, le protocole doit être spécifié avec le numéro de port/nom de profil.
sudo ufw allow|deny portnumber|profilename/tcp/udp
sudo ufw autoriser 21/tcp
sudo ufw refuser 21/udp
Comment désactiver complètement le pare-feu?
Parfois, le pare-feu par défaut doit être désactivé afin de tester le réseau ou lorsqu'un autre pare-feu est destiné à être installé. La commande suivante désactive complètement le pare-feu et autorise toutes les connexions entrantes et sortantes sans condition. Ceci n'est pas conseillé à moins que les intentions susmentionnées ne soient les raisons de la désactivation. La désactivation du pare-feu ne réinitialise ni ne supprime ses configurations ; par conséquent, il peut à nouveau être activé avec les paramètres précédents.
sudo ufw désactiver
Activer les stratégies par défaut
Les politiques par défaut indiquent comment un pare-feu répond à une connexion lorsqu'aucune règle ne lui correspond, par exemple si le pare-feu autorise toutes les connexions entrantes par défaut, mais si le numéro de port 25 est bloqué pour les connexions entrantes, le reste des ports fonctionne toujours pour les connexions entrantes sauf le numéro de port 25, car il remplace la connexion par défaut. Les commandes suivantes refusent les connexions entrantes et autorisent les connexions sortantes par défaut.
sudo ufw par défaut nier entrant
sudo ufw par défaut autoriser les sorties
Activer une plage de ports spécifique
La plage de ports spécifie à quels ports la règle de pare-feu s'applique. La gamme est indiquée dans startPort:endPort format, il est ensuite suivi du protocole de connexion qui est mandaté d'indiquer dans ce cas.
sudo ufw autoriser 6000: 6010/tcp
sudo ufw autoriser 6000:6010/udp
Autoriser/refuser l'adresse/les adresses IP spécifiques
Non seulement un port spécifique peut être autorisé ou refusé pour les appels sortants ou entrants, mais également une adresse IP. Lorsque l'adresse IP est spécifiée dans la règle, toute demande de cette IP particulière est soumise à la règle spécifiée, par exemple dans la commande suivante, elle autorise toutes les demandes de 67.205.171.204 adresse IP, alors il autorise toutes les requêtes de 67.205.171.204 aux ports 80 et 443, cela signifie que tout périphérique avec cette IP peut envoyer des requêtes réussies au serveur sans être refusé dans le cas où la règle par défaut bloque toutes les connexions entrantes. Ceci est très utile pour les serveurs privés qui sont utilisés par une seule personne ou un réseau spécifique.
sudo ufw autoriser à partir de 67.205.171.204
sudo ufw autoriser à partir de 67.205.171.204 vers n'importe quel port 80
sudo ufw autoriser à partir de 67.205.171.204 vers n'importe quel port 443
Activer la journalisation
La fonctionnalité de journalisation enregistre les détails techniques de chaque demande vers et depuis le serveur. Ceci est utile à des fins de débogage ; il est donc recommandé de l'allumer.
sudo ufw connexion
Autoriser/refuser un sous-réseau spécifique
Lorsqu'une plage d'adresses IP est impliquée, il est difficile d'ajouter manuellement chaque enregistrement d'adresse IP à une règle de pare-feu pour refuser ou autoriser, et ainsi les plages d'adresses IP peuvent être spécifiées en notation CIDR, qui se compose généralement de l'adresse IP et du montant des hôtes qu'il contient et IP de chaque hôte.
Dans l'exemple suivant, il utilise les deux commandes suivantes. Dans le premier exemple, il utilise /24 netmask, et donc la règle valable à partir de 192.168.1.1 à 192.168.1.254 adresses IP. Dans le deuxième exemple la même règle valable pour le numéro de port 25 uniquement. Ainsi, si les requêtes entrantes sont bloquées par défaut, les adresses IP mentionnées sont désormais autorisées à envoyer des requêtes au port numéro 25 du serveur.
sudo ufw autoriser à partir de 192.168.1.1/24
sudo ufw autoriser à partir de 192.168.1.1/24 vers n'importe quel port 25
Supprimer une règle du pare-feu
Les règles peuvent être supprimées du pare-feu. La première commande suivante aligne chaque règle dans le pare-feu avec un numéro, puis avec la deuxième commande la règle peut être supprimée en spécifiant le numéro appartenant à la règle.
statut sudo ufw numéroté
sudo ufw supprimer 2
Réinitialiser la configuration du pare-feu
Enfin, pour recommencer la configuration du pare-feu, utilisez la commande suivante. Ceci est très utile si le pare-feu commence à fonctionner bizarrement ou si le pare-feu se comporte de manière inattendue.
sudo ufw réinitialiser