[[ufw]]
Piste: » ufw
Uncomplicated Firewall
– Le Pare-feu tout simplement –
Ubuntu 8.04 LTS Hardy Heron introduit un nouvel outil de configuration simplifié en ligne de commande de NetFilter en complément de l'outil déjà disponible Iptables et devrait à terme permettre une configuration automatique du pare-feu lors de l'installation de programmes en ayant besoin.
Installation
ufw est pré-installé, mais si besoin vous devez simplement installer le paquet ufw
Configuration / Utilisation
L'outil ufw n'est pas activé par défaut, il vous faut donc avoir les droit administrateur en ligne de commande.
- Activer ufw :
sudo ufw enable
- Désactiver ufw :
sudo ufw disable
- Autoriser le trafic entrant suivant les règles par défaut :
sudo ufw default allow
- Refuser le trafic entrant suivant les règles par défaut :
sudo ufw default deny
Afficher l'état actuel des règles
sudo ufw status
Devrait vous afficher quelque chose comme ça:
Firewall loaded To Action From -- ------ ---- apache2 DENY Anywhere Apache Webserver openssh-server ALLOW Anywhere SSH Logins 192.168.0.2 pop3s ALLOW Anywhere named DENY Anywhere WARNING: New service tcp:8082 DENY 10.0.0.0/8 tcp:25 ALLOW 192.168.0.0/24 ntp ALLOW* Anywhere imaps ALLOW** Anywhere tcp:23 ALLOW** Anywhere jabberd2 ALLOW** Anywhere * rule for removed package 'ntpd' ** services not running
Les commandes de base
- Activer la journalisation :
sudo ufw logging on
- Désactiver la journalisation :
sudo ufw logging off
- Autoriser :
sudo ufw allow [règle]
- Refuser :
sudo ufw deny [règle]
- Supprimer :
sudo ufw delete allow [règle]
La syntaxe des règles
Quelques exemples pour comprendre la syntaxe des règles de configuration.
- Ouverture du port 53 en tcp et udp
sudo ufw allow 53
- Ouverture du port 25 en tcp uniquement
sudo ufw allow 25/tcp
ufw regarde dans sa liste de services connus pour appliquer les règles standards associées à ces services (apache2, smtp, imaps, ...)
- Autoriser le service smtp
sudo ufw allow smtp
L'écriture de règles plus complexes est également possible.
- Refuser à(to) tout le monde(any) le protocole(proto) tcp sur le port(port) 80
sudo ufw deny proto tcp to any port 80
- Refuser à(to) l'adresse 192.168.0.1 de recevoir sur le port(port) 25 les données provenant(from) du réseau Class A et utilisant le protocole(proto) tcp
sudo ufw deny proto tcp from 10.0.0.0/8 to 192.168.0.1 port 25
- Refuser les données provenant(from) de 1.2.3.4 utilisant le protocole(proto) udp sur le port(port) 514
sudo ufw deny proto udp from 1.2.3.4 to any port 514
IPv6
ufw supporte les adresses IPv6 (certains utilisateurs apprécieront), mais nécessite une configuration complémentaire pour activer ce support.
Pour cela il suffit de modifier le fichier /etc/default/ufw et d'y mettre
IPV6=yes
Il ne reste plus qu'à désactiver et activer de nouveau ufw
sudo ufw disable sudo ufw enable