ubuntu-fr

Communauté francophone des utilisateurs d'Ubuntu

[[ufw]]

Piste: » ufw

Table des matières
, , , , , ,

Uncomplicated Firewall

– Le Pare-feu tout simplement –

Ubuntu 8.04 LTS Hardy Heron introduit un nouvel outil de configuration simplifié en ligne de commande de NetFilter en complément de l'outil déjà disponible Iptables et devrait à terme permettre une configuration automatique du pare-feu lors de l'installation de programmes en ayant besoin.

Installation

ufw est pré-installé, mais si besoin vous devez simplement installer le paquet ufw

Configuration / Utilisation

L'outil ufw n'est pas activé par défaut, il vous faut donc avoir les droit administrateur en ligne de commande.

  • Activer ufw : 
    sudo ufw enable
  • Désactiver ufw : 
    sudo ufw disable
  • Autoriser le trafic entrant suivant les règles par défaut : 
    sudo ufw default allow
  • Refuser le trafic entrant suivant les règles par défaut : 
    sudo ufw default deny

Afficher l'état actuel des règles

sudo ufw status

Devrait vous afficher quelque chose comme ça: 

Firewall loaded

To                      Action  From
--                      ------  ----
apache2                 DENY    Anywhere        Apache Webserver     
openssh-server          ALLOW   Anywhere        SSH Logins           
192.168.0.2 pop3s       ALLOW   Anywhere                             
named                   DENY    Anywhere        WARNING: New service 
tcp:8082                DENY    10.0.0.0/8                           
tcp:25                  ALLOW   192.168.0.0/24                       
ntp                     ALLOW*  Anywhere                             
imaps                   ALLOW** Anywhere                             
tcp:23                  ALLOW** Anywhere                             
jabberd2                ALLOW** Anywhere                             


* rule for removed package 'ntpd'
** services not running

Les commandes de base

  • Activer la journalisation : 
    sudo ufw logging on
  • Désactiver la journalisation : 
    sudo ufw logging off
  • Autoriser : 
    sudo ufw allow [règle]
  • Refuser : 
    sudo ufw deny [règle]
  • Supprimer : 
    sudo ufw delete allow [règle]
L'ordre de déclaration des règles est très important, le système utilisant une politique "premier arrivé, premier servi". Prenez donc soin d'ajouter vos règles spécifiques avant les règles générales lorsqu'elles concernent des éléments communs

La syntaxe des règles

Quelques exemples pour comprendre la syntaxe des règles de configuration.

  • Ouverture du port 53 en tcp et udp 
    sudo ufw allow 53
  • Ouverture du port 25 en tcp uniquement 
    sudo ufw allow 25/tcp

ufw regarde dans sa liste de services connus pour appliquer les règles standards associées à ces services (apache2, smtp, imaps, ...)

  • Autoriser le service smtp 
    sudo ufw allow smtp

L'écriture de règles plus complexes est également possible.

  • Refuser à(to) tout le monde(any) le protocole(proto) tcp sur le port(port) 80 
    sudo ufw deny proto tcp to any port 80
  • Refuser à(to) l'adresse 192.168.0.1 de recevoir sur le port(port) 25 les données provenant(from) du réseau Class A et utilisant le protocole(proto) tcp
    sudo ufw deny proto tcp from 10.0.0.0/8 to 192.168.0.1 port 25
  • Refuser les données provenant(from) de 1.2.3.4 utilisant le protocole(proto) udp sur le port(port) 514
    sudo ufw deny proto udp from 1.2.3.4 to any port 514

IPv6

ufw supporte les adresses IPv6 (certains utilisateurs apprécieront), mais nécessite une configuration complémentaire pour activer ce support.

Pour cela il suffit de modifier le fichier /etc/default/ufw et d'y mettre 

IPV6=yes

Il ne reste plus qu'à désactiver et activer de nouveau ufw 

sudo ufw disable
sudo ufw enable

Liens

source: https://wiki.ubuntu.com/UbuntuFirewall (en)

écrit par YoBoY


ufw.txt · Dernière modification: Le 15/05/2008, à 12:22 par 88.173.64.161
Le contenu de ce wiki est sous double licence : CC BY-SA et GNU FDL