Différences
Ci-dessous, les différences entre deux révisions de la page.
| Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente | ||
|
ufw [Le 24/02/2017, 01:34] 78.250.64.232 [A) Si vous obtenez **ERROR: / is world writable] |
ufw [Le 01/01/2023, 03:12] (Version actuelle) Benjamin Loison Uniformisation de la mise en page |
||
|---|---|---|---|
| Ligne 1: | Ligne 1: | ||
| - | {{tag>Precise Trusty console pare-feu réseau sécurité}} | + | {{tag>Xenial console pare-feu réseau sécurité}} |
| ---- | ---- | ||
| Ligne 11: | Ligne 11: | ||
| <note tip>Si vous désirez activer et configurer votre pare-feu sur un ordinateur profitant d'un environnement de bureau, sachez qu'il existe une interface graphique pour UFW : [[:Gufw]]. | <note tip>Si vous désirez activer et configurer votre pare-feu sur un ordinateur profitant d'un environnement de bureau, sachez qu'il existe une interface graphique pour UFW : [[:Gufw]]. | ||
| - | Il existe également une interface spécialement adapté pour KDE (Kubuntu) depuis Trusty (14.04) : [[:tutoriel:comment_installer_un_paquet|installer le paquet]] **[[apt>ufw-kde]]**. Pour les versions antérieures, voir éventuellement [[https://projects.kde.org/projects/playground/sysadmin/ufw-kde|ici]].</note> | + | Il existe également une interface spécialement adaptée pour KDE (Kubuntu) : [[:tutoriel:comment_installer_un_paquet|installer le paquet]] **[[apt>ufw-kde]]**.</note> |
| Ligne 33: | Ligne 33: | ||
| État : actif ou inactif | État : actif ou inactif | ||
| - | Activer UFW : | + | Activer UFW : (c'est à dire appliquer les règles définies) |
| sudo ufw enable | sudo ufw enable | ||
| - | Désactiver UFW : | + | Désactiver UFW : (c'est à dire ne plus appliquer les règles définies) |
| sudo ufw disable | sudo ufw disable | ||
| Ligne 43: | Ligne 43: | ||
| ==== Afficher l'état actuel des règles ==== | ==== Afficher l'état actuel des règles ==== | ||
| - | Une unique commande qui vous permettra de jeter un œil sur la totalité des instructions que vous avez indiquées à UFW : | + | Une unique commande qui vous permettra de jeter un œil sur la totalité des instructions que vous avez indiquées à UFW : |
| sudo ufw status verbose | sudo ufw status verbose | ||
| - | Cette commande devrait vous afficher quelque chose comme ça : | + | Cette commande devrait vous afficher quelque chose comme ça : |
| <code> | <code> | ||
| Ligne 90: | Ligne 90: | ||
| 23/tcp (v6) DENY OUT Anywhere (v6)</code> | 23/tcp (v6) DENY OUT Anywhere (v6)</code> | ||
| - | Liste toutes les règles que vous avez indiquées au pare-feu. (V6) correspond aux règles adaptées pour l'IPv6, celle qui n'ont pas cette précision sont adaptées pour l'IPv4. Pour l’édition de ces règles, voir la rubrique concernant [[#Ajouter/supprimer des règles|l’édition des règles]]. | + | Liste toutes les règles que vous avez indiquées au pare-feu. (V6) correspond aux règles adaptées pour l'IPv6, celles qui n'ont pas cette précision sont adaptées pour l'IPv4. Pour l’édition de ces règles, voir la rubrique concernant [[#Ajouter/supprimer des règles|l’édition des règles]]. |
| === Numéro de règle === | === Numéro de règle === | ||
| Ligne 121: | Ligne 121: | ||
| === Activer/désactiver la journalisation === | === Activer/désactiver la journalisation === | ||
| - | Activer la journalisation : | + | Activer la journalisation : |
| sudo ufw logging on | sudo ufw logging on | ||
| - | Désactiver la journalisation : | + | Désactiver la journalisation : |
| sudo ufw logging off | sudo ufw logging off | ||
| Ligne 151: | Ligne 151: | ||
| sudo ufw deny out [règle] | sudo ufw deny out [règle] | ||
| - | Supprimer une règle : | + | Supprimer une règle : |
| - | sudo ufw delete allow "ou deny" [règle] | + | sudo ufw delete allow [règle] |
| + | sudo ufw delete deny [règle] | ||
| Supprimer simplement une règle d'après son [[#numéro_de_regle|numéro]] : | Supprimer simplement une règle d'après son [[#numéro_de_regle|numéro]] : | ||
| Ligne 167: | Ligne 168: | ||
| === La syntaxe des règles === | === La syntaxe des règles === | ||
| - | Voici quelques exemples pour comprendre la syntaxe des règles de configuration. | + | Voici quelques exemples pour comprendre la syntaxe des règles de configuration. |
| * Ouverture du port 53 en TCP et UDP :<code>sudo ufw allow 53</code> | * Ouverture du port 53 en TCP et UDP :<code>sudo ufw allow 53</code> | ||
| Ligne 176: | Ligne 177: | ||
| UFW regarde dans sa liste de services connus pour appliquer les règles standards associées à ces services (apache2, smtp, imaps, etc..). Ces règles sont automatiquement converties en ports. | UFW regarde dans sa liste de services connus pour appliquer les règles standards associées à ces services (apache2, smtp, imaps, etc..). Ces règles sont automatiquement converties en ports. | ||
| - | Pour avoir la liste des services : | + | Pour avoir la liste des services : |
| <code>less /etc/services</code> | <code>less /etc/services</code> | ||
| - | Exemple : Autoriser le service SMTP : | + | 1° exemple : Autoriser le service SMTP : |
| <code>sudo ufw allow smtp</code> | <code>sudo ufw allow smtp</code> | ||
| Ligne 192: | Ligne 193: | ||
| === Règles complexes === | === Règles complexes === | ||
| - | L'écriture de règles plus complexes est également possible : | + | L'écriture de règles plus complexes est également possible : |
| * Refuser le protocole (//proto//) TCP à (//to//) tout le monde (//any//) sur le port (//port//) 80 : <code>sudo ufw deny proto tcp to any port 80</code> | * Refuser le protocole (//proto//) TCP à (//to//) tout le monde (//any//) sur le port (//port//) 80 : <code>sudo ufw deny proto tcp to any port 80</code> | ||
| Ligne 205: | Ligne 206: | ||
| * Insérer en numéro 2 une règle refusant le trafic entrant utilisant le protocole (//proto//) UDP (//to//) en direction de (//any//) toute les adresses en écoute sur votre machine sur le port (//port//) 514 en provenance (//from//) de 1.2.3.4 | * Insérer en numéro 2 une règle refusant le trafic entrant utilisant le protocole (//proto//) UDP (//to//) en direction de (//any//) toute les adresses en écoute sur votre machine sur le port (//port//) 514 en provenance (//from//) de 1.2.3.4 | ||
| <code>sudo ufw insert 2 deny proto udp to any port 514 from 1.2.3.4</code> | <code>sudo ufw insert 2 deny proto udp to any port 514 from 1.2.3.4</code> | ||
| + | |||
| + | ===Réinitialiser UFW=== | ||
| + | En cas d'erreur de vos règles vous pouvez réinitialiser le pare feu comme au début de l'installation en ouvrant un terminal puis vous écrivez: | ||
| + | <code>sudo ufw reset </code> | ||
| + | Vous pouvez aussi forcer sans demander d'autorisation : | ||
| + | <code>sudo ufw reset --force</code> | ||
| | | ||
| ===== Configuration ===== | ===== Configuration ===== | ||
| Ligne 211: | Ligne 218: | ||
| UFW prend en charge les adresses IPv6. | UFW prend en charge les adresses IPv6. | ||
| - | Le support d'IPv6 est désormais activé par défaut, si ce n'est pas le cas, | + | Le support d'IPv6 est désormais activé par défaut, si ce n'est pas le cas, |
| il suffit de [[:tutoriel:comment_editer_un_fichier|modifier le fichier]] **/etc/default/ufw** et d'y mettre ceci : | il suffit de [[:tutoriel:comment_editer_un_fichier|modifier le fichier]] **/etc/default/ufw** et d'y mettre ceci : | ||
| <file bash /etc/default/ufw>IPV6=yes</file> | <file bash /etc/default/ufw>IPV6=yes</file> | ||
| - | Il ne reste plus qu'à relancer UFW : | + | Il ne reste plus qu'à relancer UFW : |
| sudo ufw reload | sudo ufw reload | ||
| Ligne 226: | Ligne 233: | ||
| ==== Ne pas autoriser le ping ==== | ==== Ne pas autoriser le ping ==== | ||
| - | Par défaut UFW autorise les requêtes de ping (ICMP Echo Requests). | + | Par défaut UFW autorise les requêtes de ping (ICMP Echo Requests). |
| Il faut [[:tutoriel:comment_editer_un_fichier|éditer]] ''/etc/ufw/before.rules'' et commenter en ajoutant un "**#**" à la ligne suivante : | Il faut [[:tutoriel:comment_editer_un_fichier|éditer]] ''/etc/ufw/before.rules'' et commenter en ajoutant un "**#**" à la ligne suivante : | ||
| <code># -A ufw-before-input -p icmp --icmp-type echo-request -j ACCEPT</code> | <code># -A ufw-before-input -p icmp --icmp-type echo-request -j ACCEPT</code> | ||
| - | ==== Bloquer HADOPI ==== | ||
| - | |||
| - | Bloquer toutes les IP de la HADOPI : | ||
| - | |||
| - | sudo ufw deny from 90.80.155.240/28 | ||
| - | sudo ufw deny from 80.12.48.0/24 | ||
| - | sudo ufw deny from 5.23.42.12/30 | ||
| - | sudo ufw deny from 195.5.217.72/29 | ||
| - | sudo ufw deny from 81.80.36.231 | ||
| - | sudo ufw deny from 81.80.36.232 | ||
| - | sudo ufw deny from 81.80.36.233 | ||
| - | sudo ufw deny from 81.80.36.234 | ||
| - | sudo ufw deny from 194.79.189.240/29 | ||
| - | | ||
| - | Cette configuration de blocage ne sert strictement à rien puisque que ce n'est pas la HADOPI qui récupère les IP !!! | ||
| ===== Problèmes connus ===== | ===== Problèmes connus ===== | ||
| ==== Si vous obtenez **"ERROR: / is world writable ==== | ==== Si vous obtenez **"ERROR: / is world writable ==== | ||
| - | en voulant activer Uncomplicated Firewall, ces commandes devraient régler le problème : | + | en voulant activer Uncomplicated Firewall, ces commandes devraient régler le problème : |
| sudo chown root:root / | sudo chown root:root / | ||
| - | sudo chmod 755 / | + | sudo chmod 0755 / |
| + | ==== Si vous n'avez plus de place disque ==== | ||
| + | Il faut penser qu'il y a un problème de refus de connexion tracé dans **/var/log**. Si non résolvable, l'une de ces commandes pourra masquer le problème: | ||
| + | sudo ufw logging off | ||
| + | sudo ufw logging low | ||
| ===== Voir aussi ===== | ===== Voir aussi ===== | ||