Différences
Ci-dessous, les différences entre deux révisions de la page.
Les deux révisions précédentesRévision précédenteProchaine révision | Révision précédente | ||
ufw [Le 30/04/2016, 08:54] – [Bloquer HADOPI] 82.245.153.205 | ufw [Le 24/01/2021, 07:24] (Version actuelle) – exemple dupliqué pour une meilleure lisibilité (il faut éviter de mettre plusieurs variantes dans un même exemple de ligne de commande ; c'est une (mauvaise) pratique du XXe siècle qui est à proscrire aujourd'hui) kirisakow | ||
---|---|---|---|
Ligne 1: | Ligne 1: | ||
+ | {{tag> | ||
+ | ---- | ||
+ | |||
+ | ====== Uncomplicated Firewall ====== | ||
+ | |||
+ | //Le pare-feu tout simplement.// | ||
+ | |||
+ | UFW est un nouvel outil de configuration simplifié en [[: | ||
+ | |||
+ | <note tip>Si vous désirez activer et configurer votre pare-feu sur un ordinateur profitant d'un environnement de bureau, sachez qu'il existe une interface graphique pour UFW : [[:Gufw]]. | ||
+ | |||
+ | Il existe également une interface spécialement adaptée pour KDE (Kubuntu) : | ||
+ | |||
+ | |||
+ | ===== Installation ===== | ||
+ | |||
+ | **Uncomplicated Firewall** est pré-installé sous Ubuntu, mais en cas de besoin, vous devrez simplement [[: | ||
+ | |||
+ | |||
+ | ===== Utilisation ===== | ||
+ | |||
+ | < | ||
+ | |||
+ | ==== Activer / Désactiver UFW ==== | ||
+ | |||
+ | L' | ||
+ | |||
+ | Vérifier le statut actuel : | ||
+ | |||
+ | sudo ufw status | ||
+ | |||
+ | État : actif ou inactif | ||
+ | |||
+ | Activer UFW : ( c'est à dire appliquer les règles définies) | ||
+ | |||
+ | sudo ufw enable | ||
+ | |||
+ | Désactiver UFW : (c'est à dire ne plus appliquer les règles définies) | ||
+ | |||
+ | sudo ufw disable | ||
+ | |||
+ | ==== Afficher l' | ||
+ | |||
+ | Une unique commande qui vous permettra de jeter un œil sur la totalité des instructions que vous avez indiquées à UFW : | ||
+ | |||
+ | sudo ufw status verbose | ||
+ | |||
+ | Cette commande devrait vous afficher quelque chose comme ça : | ||
+ | |||
+ | < | ||
+ | État : actif | ||
+ | Journalisation : on (low) | ||
+ | Default: deny (incoming), allow (outgoing), disabled (routed) | ||
+ | Nouveaux profils : skip | ||
+ | |||
+ | Vers | ||
+ | ---- | ||
+ | 80 DENY IN | ||
+ | 443 ALLOW IN Anywhere | ||
+ | 22 ALLOW IN Anywhere | ||
+ | 192.168.0.2 995 ALLOW IN Anywhere | ||
+ | 8082/ | ||
+ | 25/ | ||
+ | 80 (v6) DENY IN | ||
+ | 443 (v6) ALLOW IN Anywhere (v6) | ||
+ | 22 (v6) ALLOW IN Anywhere (v6) | ||
+ | |||
+ | 23/ | ||
+ | 23/tcp (v6) DENY OUT Anywhere (v6) | ||
+ | </ | ||
+ | |||
+ | L' | ||
+ | |||
+ | === Description du contenu === | ||
+ | |||
+ | Journalisation : on (low) | ||
+ | |||
+ | Indique que la journalisation est activée, vous pouvez retrouver toutes les interactions du pare-feu dans le fichier **/ | ||
+ | |||
+ | Default: deny (incoming), allow (outgoing), disabled (routed) | ||
+ | |||
+ | Concerne les règles par défaut de UFW, voir la rubrique [[# | ||
+ | |||
+ | < | ||
+ | ---- | ||
+ | 80 DENY IN | ||
+ | 443 ALLOW IN Anywhere | ||
+ | [...] | ||
+ | 23/tcp (v6) DENY OUT Anywhere (v6)</ | ||
+ | |||
+ | Liste toutes les règles que vous avez indiquées au pare-feu. (V6) correspond aux règles adaptées pour l' | ||
+ | |||
+ | === Numéro de règle === | ||
+ | |||
+ | Vous pouvez afficher les règles numérotées. | ||
+ | sudo ufw status numbered | ||
+ | |||
+ | ==== Gestion des règles par défaut ==== | ||
+ | |||
+ | Lorsque UFW est activé, par défaut le trafic entrant est refusé et le trafic sortant est autorisé. C'est en général le réglage à privilégier, | ||
+ | |||
+ | Autoriser le trafic entrant suivant les règles par défaut : | ||
+ | |||
+ | sudo ufw default allow | ||
+ | |||
+ | Refuser le trafic entrant suivant les règles par défaut : | ||
+ | |||
+ | sudo ufw default deny | ||
+ | |||
+ | Autoriser le trafic sortant suivant les règles par défaut : | ||
+ | |||
+ | sudo ufw default allow outgoing | ||
+ | |||
+ | Refuser le trafic sortant suivant les règles par défaut : | ||
+ | |||
+ | sudo ufw default deny outgoing | ||
+ | |||
+ | ==== Les commandes de base ==== | ||
+ | |||
+ | === Activer/ | ||
+ | |||
+ | Activer la journalisation : | ||
+ | |||
+ | sudo ufw logging on | ||
+ | |||
+ | Désactiver la journalisation : | ||
+ | |||
+ | sudo ufw logging off | ||
+ | |||
+ | === Ajouter/ | ||
+ | |||
+ | Autoriser une connexion entrante : | ||
+ | |||
+ | sudo ufw allow [règle] | ||
+ | |||
+ | Refuser une connexion entrante : | ||
+ | |||
+ | sudo ufw deny [règle] | ||
+ | | ||
+ | Refuser une IP entrante : | ||
+ | <note warning> | ||
+ | sudo ufw insert 1 deny from [ip] | ||
+ | | ||
+ | Refuser une connexion entrante, uniquement en TCP : | ||
+ | |||
+ | sudo ufw deny [port]/tcp | ||
+ | |||
+ | Refuser une connexion sortante : | ||
+ | |||
+ | sudo ufw deny out [règle] | ||
+ | |||
+ | Supprimer une règle : | ||
+ | |||
+ | sudo ufw delete allow [règle] | ||
+ | sudo ufw delete deny [règle] | ||
+ | |||
+ | Supprimer simplement une règle d' | ||
+ | |||
+ | sudo ufw delete [numéro] | ||
+ | |||
+ | *[port] est à remplacer par le numéro du port désiré. | ||
+ | *[règle] est à remplacer par le numéro du port ou le nom du [[# | ||
+ | *[numéro] est à remplacer par le numéro de la règle désiré. | ||
+ | |||
+ | ==== Règles simples ==== | ||
+ | |||
+ | === La syntaxe des règles === | ||
+ | |||
+ | Voici quelques exemples pour comprendre la syntaxe des règles de configuration. | ||
+ | |||
+ | * Ouverture du port 53 en TCP et UDP :< | ||
+ | * Ouverture du port 25 en TCP uniquement :< | ||
+ | |||
+ | === Utilisation des services === | ||
+ | |||
+ | UFW regarde dans sa liste de services connus pour appliquer les règles standards associées à ces services (apache2, smtp, imaps, etc..). Ces règles sont automatiquement converties en ports. | ||
+ | |||
+ | Pour avoir la liste des services : | ||
+ | < | ||
+ | Exemple : Autoriser le service SMTP : | ||
+ | < | ||
+ | |||
+ | 2° exemple : Autoriser le port de Gnome-Dictionary (2628/tcp) : | ||
+ | < | ||
+ | |||
+ | 3° exemple : Autoriser le protocole pop3 sécurisé | ||
+ | (réception du courrier de Gmail et autres messageries utilisant ce protocole sécurisé) : | ||
+ | < | ||
+ | |||
+ | ==== Utilisation avancée ==== | ||
+ | |||
+ | === Règles complexes === | ||
+ | |||
+ | L' | ||
+ | |||
+ | * Refuser le protocole (//proto//) TCP à (//to//) tout le monde (//any//) sur le port (//port//) 80 : < | ||
+ | * Refuser à (//to//) l' | ||
+ | * Refuser les données utilisant le protocole (//proto//) UDP provenant (//from//) de 1.2.3.4 | ||
+ | * Refuser à l' | ||
+ | |||
+ | === Insérer une règle === | ||
+ | |||
+ | Vous pouvez insérer une règle à une position précise en utilisant le [[# | ||
+ | < | ||
+ | * Insérer en numéro 2 une règle refusant le trafic entrant utilisant le protocole (//proto//) UDP (//to//) en direction de (//any//) toute les adresses en écoute sur votre machine sur le port (//port//) 514 en provenance (//from//) de 1.2.3.4 | ||
+ | < | ||
+ | |||
+ | | ||
+ | En cas d' | ||
+ | < | ||
+ | Vous pouvez aussi forcer sans demander d' | ||
+ | < | ||
+ | | ||
+ | ===== Configuration ===== | ||
+ | |||
+ | ==== IPv6 ==== | ||
+ | |||
+ | UFW prend en charge les adresses IPv6. | ||
+ | Le support d'IPv6 est désormais activé par défaut, si ce n'est pas le cas, | ||
+ | il suffit de [[: | ||
+ | |||
+ | <file bash / | ||
+ | |||
+ | Il ne reste plus qu'à relancer UFW : | ||
+ | |||
+ | sudo ufw reload | ||
+ | |||
+ | < | ||
+ | Si le support d'IPv6 n' | ||
+ | </ | ||
+ | |||
+ | ==== Ne pas autoriser le ping ==== | ||
+ | |||
+ | Par défaut UFW autorise les requêtes de ping (ICMP Echo Requests). | ||
+ | Il faut [[: | ||
+ | < | ||
+ | |||
+ | |||
+ | ===== Problèmes connus ===== | ||
+ | ==== Si vous obtenez **" | ||
+ | |||
+ | en voulant activer Uncomplicated Firewall, ces commandes devraient régler le problème : | ||
+ | |||
+ | sudo chown root:root / | ||
+ | sudo chmod 0755 / | ||
+ | ==== Si vous n'avez plus de place disque ==== | ||
+ | Il faut penser qu'il y a un problème de refus de connexion tracé dans **/ | ||
+ | |||
+ | sudo ufw logging off | ||
+ | sudo ufw logging low | ||
+ | ===== Voir aussi ===== | ||
+ | |||
+ | * (en) [[https:// | ||
+ | * ( fr ) [[http:// | ||
+ | * (en) [[http:// | ||
+ | ---- | ||
+ | |||
+ | // |