SlideShare une entreprise Scribd logo

Configurer un pare-feu local sous Debian 11 avec UFW _ IT-Connect.pdf

J
jupiter63

Configurer un pare-feu local sous Debian 11 avec UFW _ IT-Connect.

Internet
1  sur  10
Télécharger pour lire hors ligne
14/03/2023 10:55 Configurer un pare-feu local sous Debian 11 avec UFW | IT-Connect https://www.it-connect.fr/configurer-un-pare-feu-local-sous-debian-11-avec-ufw/ 1/10 Configurer un pare-feu local sous Debian 11 avec UFW 22/02/2022 Florian Burnel 2766 Views 6 Commentaires Debian, Linux, Pare-feu, UFW 6 min read Sommaire [-] I. Présentation II. Installer Ufw sur Debian 11 III. Pare-feu ufw : commandes utiles A. Autoriser une adresse IP ou un sous-réseau B. Autoriser une plage de ports C. Supprimer une règle ufw D. Bloquer une adresse IP E. Bloquer un port en sortie F. Les applications ufw IV. Conclusion I. Présentation Dans ce tutoriel, nous allons voir comment configurer un pare-feu local de façon très simple sur un serveur Debian 11 par l'intermédiaire de UFW. Si vous avez un serveur sous Debian 11 et que vous recherchez une façon simple de configurer un pare-feu local pour gérer les flux entrants et sortants, faites comme moi, utilisez le paquet "ufw". Même le nom qui se cache derrière "ufw" nous indique que ça va être facile : Uncomplicated Firewall, soit le pare-feu simple ou le pare-feu non compliqué si vous préférez. Accessible en ligne de commande, Ufw est une interface pour IPtables qui va permettre de gérer le framework Netfilter avec des commandes très simples, comme nous le verrons au travers de ce tutoriel où je vais vous indiquer l'essentiel des commandes. Les commandes IPtables, ce n'est pas toujours simple, mais la gestion avec ufw est relativement simple : vous verrez par vous-même dans la suite de ce tutoriel.
14/03/2023 10:55 Configurer un pare-feu local sous Debian 11 avec UFW | IT-Connect https://www.it-connect.fr/configurer-un-pare-feu-local-sous-debian-11-avec-ufw/ 2/10 II. Installer Ufw sur Debian 11 Commençons par la base : l'installation d'ufw sur le serveur Debian : sudo apt-get update sudo apt-get install ufw J'imagine que vous réalisez cette installation à partir d'une connexion SSH. Veillez à avoir un accès console sur le serveur au cas où les choses dégénèrent : une mauvaise règle et vous pourriez vous couper l'accès à votre serveur ! Nous devons activer ufw pour qu'il soit actif, car pour le moment il ne sert pas à grand chose. Si on l'active maintenant, la connexion SSH active restera active, mais si elle coupe, nous ne pourrons plus nous connecter en SSH, car le flux n'est pas ouvert. Nous allons effectuer la configuration de base avant d'activer le pare-feu. Par défaut, nous allons refuser toutes les connexions entrantes (incoming) : sudo ufw default deny incoming À l'inverse, on autorisera toutes les connexions sortantes (outgoing - vous pouvez modifier ce comportement, bien entendu). sudo ufw default allow outgoing
14/03/2023 10:56 Configurer un pare-feu local sous Debian 11 avec UFW | IT-Connect https://www.it-connect.fr/configurer-un-pare-feu-local-sous-debian-11-avec-ufw/ 3/10 Ensuite, nous allons autoriser le SSH : sudo ufw allow ssh Cette commande fonctionne, mais sera utile uniquement si vous utilisez le SSH avec le port par défaut (22), ce qui normalement n'est pas le cas. Pour autoriser un port personnalisé et correspondant à votre accès SSH, utilisez plutôt cette syntaxe (exemple avec le port 2222) : sudo ufw allow 2222/tcp Désormais, nous pouvons activer le pare-feu puisque la règle pour le SSH est en place. Disons que nous avons notre anti-lockout. 😉 sudo ufw enable Validez avec "y" puis Entrée. On peut voir que le pare-feu est actif et activé automatiquement au démarrage. Le pare-feu étant lancé, nous pouvons lister les règles existantes : sudo ufw status numbered
14/03/2023 10:56 Configurer un pare-feu local sous Debian 11 avec UFW | IT-Connect https://www.it-connect.fr/configurer-un-pare-feu-local-sous-debian-11-avec-ufw/ 4/10 Une autre commande possible, avec un affichage un peu différent : sudo ufw status Voilà pour l'installation. Voyons maintenant d'autres commandes utiles. III. Pare-feu ufw : commandes utiles Pour que vous puissiez bien prendre en main ufw, je vais vous donner quelques exemples de commandes utiles. Ensuite, à vous d'adapter selon vos besoins. A. Autoriser une adresse IP ou un sous-réseau Nous venons de créer une règle pour autoriser le port associé au service SSH de notre machine. Comment faire pour autoriser un port, mais uniquement selon une adresse IP source particulière ou un sous-réseau ? Autoriser uniquement le sous-réseau 10.10.10.0/24 à se connecter sur le port 2222 :
14/03/2023 10:56 Configurer un pare-feu local sous Debian 11 avec UFW | IT-Connect https://www.it-connect.fr/configurer-un-pare-feu-local-sous-debian-11-avec-ufw/ 5/10 sudo ufw allow from 10.10.10.0/24 to any port 2222 Autoriser uniquement la machine 10.10.10.1 à se connecter sur le port 2222 : sudo ufw allow from 10.10.10.1 to any port 2222 Afin de spécifier TCP ou UDP, il faut ajouter la directive "proto", par exemple : sudo ufw allow proto tcp from 10.10.10.0/24 to any port 22 B. Autoriser une plage de ports Pour autoriser une plage de ports au sein d'une règle, il suffit de spécifier la plage sous la forme "<port de début>:<port de fin>". Par exemple, du port "8080" au port "8081" en TCP : ufw allow 8080:8081/tcp
14/03/2023 10:56 Configurer un pare-feu local sous Debian 11 avec UFW | IT-Connect https://www.it-connect.fr/configurer-un-pare-feu-local-sous-debian-11-avec-ufw/ 6/10 C. Supprimer une règle ufw Pour supprimer une règle, il faut être vigilant. Je vais vous expliquer pourquoi. Tout d'abord, il faut lister les règles : sudo ufw status numbered Ensuite, pour supprimer la règle il faut préciser son ID (premier chiffre au début de chaque ligne). Par exemple, pour supprimer la ligne 2 : sudo ufw delete 2 Si vous souhaitez supprimer une autre règle, vous devez lister de nouveau les règles pour récupérer le numéro de lignes ! Tout simplement parce que le numéro de ligne (ou ID) change ! Si l'on supprime la règle 2, et bien la règle avec l'ID 3 devient la règle avec l'ID 2. Du coup, si l'on se base sur la sortie précédente, on risque de se tromper de règle ! D. Bloquer une adresse IP Si pour une raison ou pour une autre vous avez besoin de bloquer une adresse IP, utilisez la syntaxe suivante : sudo ufw deny from 192.168.100.10 E. Bloquer un port en sortie Par défaut, nous autorisons tout le trafic en sortie, mais cela ne veut pas dire que l'on ne peut pas bloquer certains ports. Par exemple pour empêcher notre serveur d'envoyer des e-mails via le port 25 (SMTP), on peut bloquer ce port en sortie : sudo ufw deny out 25
14/03/2023 10:56 Configurer un pare-feu local sous Debian 11 avec UFW | IT-Connect https://www.it-connect.fr/configurer-un-pare-feu-local-sous-debian-11-avec-ufw/ 7/10 F. Les applications ufw UFW est livré avec un ensemble de filtres applicatif que vous pouvez lister avec la commande suivante : sudo ufw app list
14/03/2023 10:56 Configurer un pare-feu local sous Debian 11 avec UFW | IT-Connect https://www.it-connect.fr/configurer-un-pare-feu-local-sous-debian-11-avec-ufw/ 8/10
14/03/2023 10:56 Configurer un pare-feu local sous Debian 11 avec UFW | IT-Connect https://www.it-connect.fr/configurer-un-pare-feu-local-sous-debian-11-avec-ufw/ 9/10 Ces filtres sont associés à des fichiers de configuration définit dans le dossier suivante : /etc/ufw/applications.d/ Ce fichier contient quelques informations comme les ports associés à l'application. Par exemple, pour Samba on obtient le fichier suivant : [Samba] title=LanManager-like file and printer server for Unix description=The Samba software suite is a collection of programs that implements the SMB/CIFS protocol for unix systems, allowing you to serve> ports=137,138/udp|139,445/tcp Si l'on active une règle sur l'application "Samba", cela va automatiquement englober les ports suivants : 137,138/udp et 139,445/tcp. Pour activer une règle sur une application, on l'appelle par son nom : sudo ufw allow Samba IV. Conclusion Nous venons de voir comment mettre en place un pare-feu local sous Debian 11, de manière simple avec Ufw. Pour terminer, sachez que nos règles personnalisées sont ajoutées au fichier suivant : /etc/ufw/user.rules. Le fichier "/etc/ufw/before.rules" contient les règles évaluées avant les commandes Ufw que l'on a définies et le fichier "/etc/ufw/after.rules" contient les règles évaluées après nos règles. Par exemple, pour bloquer le ping il faut passer en "DROP" au lieu de "ACCEPT" les 4 lignes ICMP du fichier "before.rules" pour modifier le comportement par défaut.
14/03/2023 10:56 Configurer un pare-feu local sous Debian 11 avec UFW | IT-Connect https://www.it-connect.fr/configurer-un-pare-feu-local-sous-debian-11-avec-ufw/ 10/10 Enfin, pour les adeptes de l'interface graphique sous Linux, sachez que le paquet "gufw" est un utilitaire qui permet de gérer les règles de pare-feu en mode graphique.

Recommandé

2020 (1)
2020 (1)2020 (1)
2020 (1)MarouaneBelmallem
 
04 2 procédure de configuration du routeur linux ubuntu server 14.04 de nom r...
04 2 procédure de configuration du routeur linux ubuntu server 14.04 de nom r...04 2 procédure de configuration du routeur linux ubuntu server 14.04 de nom r...
04 2 procédure de configuration du routeur linux ubuntu server 14.04 de nom r...ronanlebalch
 
Openssh
OpensshOpenssh
OpensshTECOS
 
Installation et Configuration de Pfsense
Installation et Configuration de PfsenseInstallation et Configuration de Pfsense
Installation et Configuration de PfsenseIsmail Rachdaoui
 
Mettre en place votre pare-feu sous Linux avec iptables.pdf
Mettre en place votre pare-feu sous Linux avec iptables.pdfMettre en place votre pare-feu sous Linux avec iptables.pdf
Mettre en place votre pare-feu sous Linux avec iptables.pdfjupiter63
 
TomatoUSB asus rtn66
TomatoUSB asus rtn66TomatoUSB asus rtn66
TomatoUSB asus rtn66charlielefebvre14
 
Nagios twil
Nagios twilNagios twil
Nagios twilguestec231f
 
Installation d'openerp 6.1 rc1
Installation d'openerp 6.1 rc1Installation d'openerp 6.1 rc1
Installation d'openerp 6.1 rc1easyopenerp
 

Recommandé

2020 (1)
2020 (1)2020 (1)
2020 (1)MarouaneBelmallem
 
04 2 procédure de configuration du routeur linux ubuntu server 14.04 de nom r...
04 2 procédure de configuration du routeur linux ubuntu server 14.04 de nom r...04 2 procédure de configuration du routeur linux ubuntu server 14.04 de nom r...
04 2 procédure de configuration du routeur linux ubuntu server 14.04 de nom r...ronanlebalch
 
Openssh
OpensshOpenssh
OpensshTECOS
 
Installation et Configuration de Pfsense
Installation et Configuration de PfsenseInstallation et Configuration de Pfsense
Installation et Configuration de PfsenseIsmail Rachdaoui
 
Mettre en place votre pare-feu sous Linux avec iptables.pdf
Mettre en place votre pare-feu sous Linux avec iptables.pdfMettre en place votre pare-feu sous Linux avec iptables.pdf
Mettre en place votre pare-feu sous Linux avec iptables.pdfjupiter63
 
TomatoUSB asus rtn66
TomatoUSB asus rtn66TomatoUSB asus rtn66
TomatoUSB asus rtn66charlielefebvre14
 
Nagios twil
Nagios twilNagios twil
Nagios twilguestec231f
 
Installation d'openerp 6.1 rc1
Installation d'openerp 6.1 rc1Installation d'openerp 6.1 rc1
Installation d'openerp 6.1 rc1easyopenerp
 
Rapport du stage
Rapport du stageRapport du stage
Rapport du stageibrahim daoudi
 
3.0 install de ubuntu server + tasksel + ftp
3.0 install de ubuntu server + tasksel + ftp3.0 install de ubuntu server + tasksel + ftp
3.0 install de ubuntu server + tasksel + ftpOsi Pallière
 
VPN WINDOWS LINUX OPENVPN
VPN WINDOWS LINUX OPENVPNVPN WINDOWS LINUX OPENVPN
VPN WINDOWS LINUX OPENVPNManuel Cédric EBODE MBALLA
 
1.0 install de ubuntu server + ssh + webmin
1.0 install de ubuntu server + ssh + webmin1.0 install de ubuntu server + ssh + webmin
1.0 install de ubuntu server + ssh + webminOsi Pallière
 
Mise en place d'un vpn site à site avec pfsense
Mise en place d'un vpn site à site avec pfsenseMise en place d'un vpn site à site avec pfsense
Mise en place d'un vpn site à site avec pfsensePape Moussa SONKO
 
Mise en place de service NFS ubuntu 22.pdf
Mise en place de service NFS ubuntu 22.pdfMise en place de service NFS ubuntu 22.pdf
Mise en place de service NFS ubuntu 22.pdfImnaTech
 
Alphorm.com Formation Odoo Technique : Installer et Configurer
Alphorm.com Formation Odoo Technique : Installer et ConfigurerAlphorm.com Formation Odoo Technique : Installer et Configurer
Alphorm.com Formation Odoo Technique : Installer et ConfigurerAlphorm
 
Guide mise en oeuvre-pfsensev2
Guide mise en oeuvre-pfsensev2Guide mise en oeuvre-pfsensev2
Guide mise en oeuvre-pfsensev2Hichem Chehida
 
[DRAFT] Utiliser VmWare pour l'installation d'un Alfresco
[DRAFT] Utiliser VmWare pour l'installation d'un Alfresco[DRAFT] Utiliser VmWare pour l'installation d'un Alfresco
[DRAFT] Utiliser VmWare pour l'installation d'un AlfrescoPASCAL Jean Marie
 
Acces distant VPN (mode client) pour la domotique
Acces distant VPN (mode client) pour la domotiqueAcces distant VPN (mode client) pour la domotique
Acces distant VPN (mode client) pour la domotiqueBenoît VAN DEN BULCKE
 
mise en place de wordpresss sous Ubuntu 22.04
mise en place de wordpresss sous Ubuntu 22.04mise en place de wordpresss sous Ubuntu 22.04
mise en place de wordpresss sous Ubuntu 22.04ImnaTech
 
Installation de systemes d'exploitation via reseau avec serva
Installation de systemes d'exploitation via reseau avec servaInstallation de systemes d'exploitation via reseau avec serva
Installation de systemes d'exploitation via reseau avec servaPape Moussa SONKO
 
Apache Open SSL
Apache Open SSLApache Open SSL
Apache Open SSLAnouar Loukili
 
Admin reseaux sous linux cours 2
Admin reseaux sous linux cours 2Admin reseaux sous linux cours 2
Admin reseaux sous linux cours 2Stephen Salama
 
Noyau
NoyauNoyau
NoyauMoncef Elbouazzaoui
 
SOLARIS 10 - Exercise - FR - 2008
SOLARIS 10 - Exercise - FR - 2008SOLARIS 10 - Exercise - FR - 2008
SOLARIS 10 - Exercise - FR - 2008Sonny Brabez
 
installation et configuration des systèmes linux.pptx
installation et configuration des systèmes linux.pptxinstallation et configuration des systèmes linux.pptx
installation et configuration des systèmes linux.pptxMarcelinKamseu
 
Installation nconf
Installation nconfInstallation nconf
Installation nconfWilfried Tiani
 
Tp n 1 linux
Tp n 1 linuxTp n 1 linux
Tp n 1 linuxAmir Souissi
 
service NFS sous linux
service NFS sous linux service NFS sous linux
service NFS sous linuxSouhaib El
 

Contenu connexe

Similaire à Configurer un pare-feu local sous Debian 11 avec UFW _ IT-Connect.pdf

3.0 install de ubuntu server + tasksel + ftp
3.0 install de ubuntu server + tasksel + ftp3.0 install de ubuntu server + tasksel + ftp
3.0 install de ubuntu server + tasksel + ftpOsi Pallière
 
1.0 install de ubuntu server + ssh + webmin
1.0 install de ubuntu server + ssh + webmin1.0 install de ubuntu server + ssh + webmin
1.0 install de ubuntu server + ssh + webminOsi Pallière
 
Mise en place d'un vpn site à site avec pfsense
Mise en place d'un vpn site à site avec pfsenseMise en place d'un vpn site à site avec pfsense
Mise en place d'un vpn site à site avec pfsensePape Moussa SONKO
 
Mise en place de service NFS ubuntu 22.pdf
Mise en place de service NFS ubuntu 22.pdfMise en place de service NFS ubuntu 22.pdf
Mise en place de service NFS ubuntu 22.pdfImnaTech
 
Alphorm.com Formation Odoo Technique : Installer et Configurer
Alphorm.com Formation Odoo Technique : Installer et ConfigurerAlphorm.com Formation Odoo Technique : Installer et Configurer
Alphorm.com Formation Odoo Technique : Installer et ConfigurerAlphorm
 
Guide mise en oeuvre-pfsensev2
Guide mise en oeuvre-pfsensev2Guide mise en oeuvre-pfsensev2
Guide mise en oeuvre-pfsensev2Hichem Chehida
 
[DRAFT] Utiliser VmWare pour l'installation d'un Alfresco
[DRAFT] Utiliser VmWare pour l'installation d'un Alfresco[DRAFT] Utiliser VmWare pour l'installation d'un Alfresco
[DRAFT] Utiliser VmWare pour l'installation d'un AlfrescoPASCAL Jean Marie
 
Acces distant VPN (mode client) pour la domotique
Acces distant VPN (mode client) pour la domotiqueAcces distant VPN (mode client) pour la domotique
Acces distant VPN (mode client) pour la domotiqueBenoît VAN DEN BULCKE
 
mise en place de wordpresss sous Ubuntu 22.04
mise en place de wordpresss sous Ubuntu 22.04mise en place de wordpresss sous Ubuntu 22.04
mise en place de wordpresss sous Ubuntu 22.04ImnaTech
 
Installation de systemes d'exploitation via reseau avec serva
Installation de systemes d'exploitation via reseau avec servaInstallation de systemes d'exploitation via reseau avec serva
Installation de systemes d'exploitation via reseau avec servaPape Moussa SONKO
 
Admin reseaux sous linux cours 2
Admin reseaux sous linux cours 2Admin reseaux sous linux cours 2
Admin reseaux sous linux cours 2Stephen Salama
 
SOLARIS 10 - Exercise - FR - 2008
SOLARIS 10 - Exercise - FR - 2008SOLARIS 10 - Exercise - FR - 2008
SOLARIS 10 - Exercise - FR - 2008Sonny Brabez
 
installation et configuration des systèmes linux.pptx
installation et configuration des systèmes linux.pptxinstallation et configuration des systèmes linux.pptx
installation et configuration des systèmes linux.pptxMarcelinKamseu
 
service NFS sous linux
service NFS sous linux service NFS sous linux
service NFS sous linuxSouhaib El
 

Similaire à Configurer un pare-feu local sous Debian 11 avec UFW _ IT-Connect.pdf (20)

Rapport du stage
Rapport du stageRapport du stage
Rapport du stage
 
3.0 install de ubuntu server + tasksel + ftp
3.0 install de ubuntu server + tasksel + ftp3.0 install de ubuntu server + tasksel + ftp
3.0 install de ubuntu server + tasksel + ftp
 
VPN WINDOWS LINUX OPENVPN
VPN WINDOWS LINUX OPENVPNVPN WINDOWS LINUX OPENVPN
VPN WINDOWS LINUX OPENVPN
 
1.0 install de ubuntu server + ssh + webmin
1.0 install de ubuntu server + ssh + webmin1.0 install de ubuntu server + ssh + webmin
1.0 install de ubuntu server + ssh + webmin
 
Mise en place d'un vpn site à site avec pfsense
Mise en place d'un vpn site à site avec pfsenseMise en place d'un vpn site à site avec pfsense
Mise en place d'un vpn site à site avec pfsense
 
Mise en place de service NFS ubuntu 22.pdf
Mise en place de service NFS ubuntu 22.pdfMise en place de service NFS ubuntu 22.pdf
Mise en place de service NFS ubuntu 22.pdf
 
Alphorm.com Formation Odoo Technique : Installer et Configurer
Alphorm.com Formation Odoo Technique : Installer et ConfigurerAlphorm.com Formation Odoo Technique : Installer et Configurer
Alphorm.com Formation Odoo Technique : Installer et Configurer
 
Guide mise en oeuvre-pfsensev2
Guide mise en oeuvre-pfsensev2Guide mise en oeuvre-pfsensev2
Guide mise en oeuvre-pfsensev2
 
[DRAFT] Utiliser VmWare pour l'installation d'un Alfresco
[DRAFT] Utiliser VmWare pour l'installation d'un Alfresco[DRAFT] Utiliser VmWare pour l'installation d'un Alfresco
[DRAFT] Utiliser VmWare pour l'installation d'un Alfresco
 
Acces distant VPN (mode client) pour la domotique
Acces distant VPN (mode client) pour la domotiqueAcces distant VPN (mode client) pour la domotique
Acces distant VPN (mode client) pour la domotique
 
mise en place de wordpresss sous Ubuntu 22.04
mise en place de wordpresss sous Ubuntu 22.04mise en place de wordpresss sous Ubuntu 22.04
mise en place de wordpresss sous Ubuntu 22.04
 
Installation de systemes d'exploitation via reseau avec serva
Installation de systemes d'exploitation via reseau avec servaInstallation de systemes d'exploitation via reseau avec serva
Installation de systemes d'exploitation via reseau avec serva
 
Apache Open SSL
Apache Open SSLApache Open SSL
Apache Open SSL
 
Admin reseaux sous linux cours 2
Admin reseaux sous linux cours 2Admin reseaux sous linux cours 2
Admin reseaux sous linux cours 2
 
Noyau
NoyauNoyau
Noyau
 
SOLARIS 10 - Exercise - FR - 2008
SOLARIS 10 - Exercise - FR - 2008SOLARIS 10 - Exercise - FR - 2008
SOLARIS 10 - Exercise - FR - 2008
 
installation et configuration des systèmes linux.pptx
installation et configuration des systèmes linux.pptxinstallation et configuration des systèmes linux.pptx
installation et configuration des systèmes linux.pptx
 
Installation nconf
Installation nconfInstallation nconf
Installation nconf
 
Tp n 1 linux
Tp n 1 linuxTp n 1 linux
Tp n 1 linux
 
service NFS sous linux
service NFS sous linux service NFS sous linux
service NFS sous linux
 

Configurer un pare-feu local sous Debian 11 avec UFW _ IT-Connect.pdf

  • 1. 14/03/2023 10:55 Configurer un pare-feu local sous Debian 11 avec UFW | IT-Connect https://www.it-connect.fr/configurer-un-pare-feu-local-sous-debian-11-avec-ufw/ 1/10 Configurer un pare-feu local sous Debian 11 avec UFW 22/02/2022 Florian Burnel 2766 Views 6 Commentaires Debian, Linux, Pare-feu, UFW 6 min read Sommaire [-] I. Présentation II. Installer Ufw sur Debian 11 III. Pare-feu ufw : commandes utiles A. Autoriser une adresse IP ou un sous-réseau B. Autoriser une plage de ports C. Supprimer une règle ufw D. Bloquer une adresse IP E. Bloquer un port en sortie F. Les applications ufw IV. Conclusion I. Présentation Dans ce tutoriel, nous allons voir comment configurer un pare-feu local de façon très simple sur un serveur Debian 11 par l'intermédiaire de UFW. Si vous avez un serveur sous Debian 11 et que vous recherchez une façon simple de configurer un pare-feu local pour gérer les flux entrants et sortants, faites comme moi, utilisez le paquet "ufw". Même le nom qui se cache derrière "ufw" nous indique que ça va être facile : Uncomplicated Firewall, soit le pare-feu simple ou le pare-feu non compliqué si vous préférez. Accessible en ligne de commande, Ufw est une interface pour IPtables qui va permettre de gérer le framework Netfilter avec des commandes très simples, comme nous le verrons au travers de ce tutoriel où je vais vous indiquer l'essentiel des commandes. Les commandes IPtables, ce n'est pas toujours simple, mais la gestion avec ufw est relativement simple : vous verrez par vous-même dans la suite de ce tutoriel.
  • 2. 14/03/2023 10:55 Configurer un pare-feu local sous Debian 11 avec UFW | IT-Connect https://www.it-connect.fr/configurer-un-pare-feu-local-sous-debian-11-avec-ufw/ 2/10 II. Installer Ufw sur Debian 11 Commençons par la base : l'installation d'ufw sur le serveur Debian : sudo apt-get update sudo apt-get install ufw J'imagine que vous réalisez cette installation à partir d'une connexion SSH. Veillez à avoir un accès console sur le serveur au cas où les choses dégénèrent : une mauvaise règle et vous pourriez vous couper l'accès à votre serveur ! Nous devons activer ufw pour qu'il soit actif, car pour le moment il ne sert pas à grand chose. Si on l'active maintenant, la connexion SSH active restera active, mais si elle coupe, nous ne pourrons plus nous connecter en SSH, car le flux n'est pas ouvert. Nous allons effectuer la configuration de base avant d'activer le pare-feu. Par défaut, nous allons refuser toutes les connexions entrantes (incoming) : sudo ufw default deny incoming À l'inverse, on autorisera toutes les connexions sortantes (outgoing - vous pouvez modifier ce comportement, bien entendu). sudo ufw default allow outgoing
  • 3. 14/03/2023 10:56 Configurer un pare-feu local sous Debian 11 avec UFW | IT-Connect https://www.it-connect.fr/configurer-un-pare-feu-local-sous-debian-11-avec-ufw/ 3/10 Ensuite, nous allons autoriser le SSH : sudo ufw allow ssh Cette commande fonctionne, mais sera utile uniquement si vous utilisez le SSH avec le port par défaut (22), ce qui normalement n'est pas le cas. Pour autoriser un port personnalisé et correspondant à votre accès SSH, utilisez plutôt cette syntaxe (exemple avec le port 2222) : sudo ufw allow 2222/tcp Désormais, nous pouvons activer le pare-feu puisque la règle pour le SSH est en place. Disons que nous avons notre anti-lockout. 😉 sudo ufw enable Validez avec "y" puis Entrée. On peut voir que le pare-feu est actif et activé automatiquement au démarrage. Le pare-feu étant lancé, nous pouvons lister les règles existantes : sudo ufw status numbered
  • 4. 14/03/2023 10:56 Configurer un pare-feu local sous Debian 11 avec UFW | IT-Connect https://www.it-connect.fr/configurer-un-pare-feu-local-sous-debian-11-avec-ufw/ 4/10 Une autre commande possible, avec un affichage un peu différent : sudo ufw status Voilà pour l'installation. Voyons maintenant d'autres commandes utiles. III. Pare-feu ufw : commandes utiles Pour que vous puissiez bien prendre en main ufw, je vais vous donner quelques exemples de commandes utiles. Ensuite, à vous d'adapter selon vos besoins. A. Autoriser une adresse IP ou un sous-réseau Nous venons de créer une règle pour autoriser le port associé au service SSH de notre machine. Comment faire pour autoriser un port, mais uniquement selon une adresse IP source particulière ou un sous-réseau ? Autoriser uniquement le sous-réseau 10.10.10.0/24 à se connecter sur le port 2222 :
  • 5. 14/03/2023 10:56 Configurer un pare-feu local sous Debian 11 avec UFW | IT-Connect https://www.it-connect.fr/configurer-un-pare-feu-local-sous-debian-11-avec-ufw/ 5/10 sudo ufw allow from 10.10.10.0/24 to any port 2222 Autoriser uniquement la machine 10.10.10.1 à se connecter sur le port 2222 : sudo ufw allow from 10.10.10.1 to any port 2222 Afin de spécifier TCP ou UDP, il faut ajouter la directive "proto", par exemple : sudo ufw allow proto tcp from 10.10.10.0/24 to any port 22 B. Autoriser une plage de ports Pour autoriser une plage de ports au sein d'une règle, il suffit de spécifier la plage sous la forme "<port de début>:<port de fin>". Par exemple, du port "8080" au port "8081" en TCP : ufw allow 8080:8081/tcp
  • 6. 14/03/2023 10:56 Configurer un pare-feu local sous Debian 11 avec UFW | IT-Connect https://www.it-connect.fr/configurer-un-pare-feu-local-sous-debian-11-avec-ufw/ 6/10 C. Supprimer une règle ufw Pour supprimer une règle, il faut être vigilant. Je vais vous expliquer pourquoi. Tout d'abord, il faut lister les règles : sudo ufw status numbered Ensuite, pour supprimer la règle il faut préciser son ID (premier chiffre au début de chaque ligne). Par exemple, pour supprimer la ligne 2 : sudo ufw delete 2 Si vous souhaitez supprimer une autre règle, vous devez lister de nouveau les règles pour récupérer le numéro de lignes ! Tout simplement parce que le numéro de ligne (ou ID) change ! Si l'on supprime la règle 2, et bien la règle avec l'ID 3 devient la règle avec l'ID 2. Du coup, si l'on se base sur la sortie précédente, on risque de se tromper de règle ! D. Bloquer une adresse IP Si pour une raison ou pour une autre vous avez besoin de bloquer une adresse IP, utilisez la syntaxe suivante : sudo ufw deny from 192.168.100.10 E. Bloquer un port en sortie Par défaut, nous autorisons tout le trafic en sortie, mais cela ne veut pas dire que l'on ne peut pas bloquer certains ports. Par exemple pour empêcher notre serveur d'envoyer des e-mails via le port 25 (SMTP), on peut bloquer ce port en sortie : sudo ufw deny out 25
  • 7. 14/03/2023 10:56 Configurer un pare-feu local sous Debian 11 avec UFW | IT-Connect https://www.it-connect.fr/configurer-un-pare-feu-local-sous-debian-11-avec-ufw/ 7/10 F. Les applications ufw UFW est livré avec un ensemble de filtres applicatif que vous pouvez lister avec la commande suivante : sudo ufw app list
  • 8. 14/03/2023 10:56 Configurer un pare-feu local sous Debian 11 avec UFW | IT-Connect https://www.it-connect.fr/configurer-un-pare-feu-local-sous-debian-11-avec-ufw/ 8/10
  • 9. 14/03/2023 10:56 Configurer un pare-feu local sous Debian 11 avec UFW | IT-Connect https://www.it-connect.fr/configurer-un-pare-feu-local-sous-debian-11-avec-ufw/ 9/10 Ces filtres sont associés à des fichiers de configuration définit dans le dossier suivante : /etc/ufw/applications.d/ Ce fichier contient quelques informations comme les ports associés à l'application. Par exemple, pour Samba on obtient le fichier suivant : [Samba] title=LanManager-like file and printer server for Unix description=The Samba software suite is a collection of programs that implements the SMB/CIFS protocol for unix systems, allowing you to serve> ports=137,138/udp|139,445/tcp Si l'on active une règle sur l'application "Samba", cela va automatiquement englober les ports suivants : 137,138/udp et 139,445/tcp. Pour activer une règle sur une application, on l'appelle par son nom : sudo ufw allow Samba IV. Conclusion Nous venons de voir comment mettre en place un pare-feu local sous Debian 11, de manière simple avec Ufw. Pour terminer, sachez que nos règles personnalisées sont ajoutées au fichier suivant : /etc/ufw/user.rules. Le fichier "/etc/ufw/before.rules" contient les règles évaluées avant les commandes Ufw que l'on a définies et le fichier "/etc/ufw/after.rules" contient les règles évaluées après nos règles. Par exemple, pour bloquer le ping il faut passer en "DROP" au lieu de "ACCEPT" les 4 lignes ICMP du fichier "before.rules" pour modifier le comportement par défaut.
  • 10. 14/03/2023 10:56 Configurer un pare-feu local sous Debian 11 avec UFW | IT-Connect https://www.it-connect.fr/configurer-un-pare-feu-local-sous-debian-11-avec-ufw/ 10/10 Enfin, pour les adeptes de l'interface graphique sous Linux, sachez que le paquet "gufw" est un utilitaire qui permet de gérer les règles de pare-feu en mode graphique.