ma banniere
Classic Moderne

Pare Feu UFW en profondeur:

- Installation
- Utilisation
- Paramétrage de UFW
- Les commandes de base
- Règles simples
- Utilisation des services
- les règles par défaut
- Règles complexes
- Autoriser IPv6


Les commandes de base:

Activer la journalisation:

sudo ufw logging on


Désactiver la journalisation:

sudo ufw logging off


Autoriser:

sudo ufw allow [règle]


Refuser:

sudo ufw deny [règle]


Supprimer:

sudo ufw delete allow [règle]


Pour supprimer simplement une règle, afficher les numéros des règles

sudo ufw status numbered


Puis supprimer la règle voulue d'après son numéro:

sudo ufw delete [numéro de la règle]

L'ordre de déclaration des règles est très important, le système utilisant une politique " premier arrivé, premier servi ". Prenez donc soin d'ajouter vos règles spécifiques avant les règles générales lorsqu'elles concernent des éléments communs.



La syntaxe des règles:


- Règles simples -

Voici quelques exemples pour comprendre la syntaxe des règles de configuration.

Ouverture du port 53 en TCP et UDP:

sudo ufw allow 53


Ouverture du port 25 en TCP uniquement:

sudo ufw allow 25/tcp



- Utilisation des services -

UFW regarde dans sa liste de services connus pour appliquer les règles standards associées à ces services (apache2, smtp, imaps, etc..).
Pour avoir la liste des services: less /etc/services

1° exemple : Autoriser le service SMTP:

sudo ufw allow smtp


2° exemple : Autoriser le port de Gnome-Dictionary (2628/tcp):

sudo ufw allow out 2628/tcp


3° exemple : Autoriser le protocol pop3 sécurisé
(réception du courrier de Gmail et autres messageries utilisant ce protocol sécurisé):


sudo ufw allow out pop3s/tcp



- Autoriser le trafic suivant les règles par défaut -

Autoriser le trafic entrant suivant les règles par défaut:

sudo ufw default allow


Autoriser le trafic entrant suivant les règles par défaut:

sudo ufw default allow incoming


Autoriser le trafic sortant suivant les règles par défaut:

sudo ufw default allow outgoing



- Règles complexes -

L'écriture de règles plus complexes est également possible :

Refuser le protocole (proto) TCP à (to) tout le monde (any) sur le port (port) 80:

sudo ufw deny proto tcp to any port 80


Refuser à (to) l'adresse 192.168.0.1 de recevoir sur le port (port) 25 les données provenant (from) du réseau de classe A et utilisant le protocole (proto) TCP:

sudo ufw deny proto tcp from 10.0.0.0/8 to 192.168.0.1 port 25


Refuser les données provenant (from) de 1.2.3.4 utilisant le protocole (proto) UDP sur le port (port) 514:

sudo ufw deny proto udp from 1.2.3.4 to any port 514



- Autoriser IPv6 -

UFW prend en charge les adresses IPv6 (Certains utilisateurs apprécieront), mais nécessite une configuration complémentaire pour activer ce support.

Pour cela il suffit de modifier le fichier /etc/default/ufw

sudo gedit /etc/default/ufw et d'y mettre ceci:

IPV6=yes

Il ne reste plus qu'à désactiver et activer de nouveau UFW:

sudo ufw disable && sudo ufw enable

il vous faudra sûrement alors supprimer puis recréer vos règles





Haut-de-Page