Tips 2 : Utiliser Ufw ou Iptables facile sous debian

UncomplicatedFirewall porte très bien son nom, il simplifie l’utilisation de Iptables et de sa configuration, terminé les scripts bash pour pouvoir gérer la bête.
Ufw est maintenant disponible sous Ubuntu par défaut mais pas sur Debian que j’utilise pour mon serveur Web (qui héberge cet humble carnet). Il va donc falloir installer Ufw et le paramétrer. Mais avant tout, il faut penser à chercher les différents ports utilisés par nos applications. Ce post étant un pense-bête, je ne vais pas les lister mais voilà un lien vers Wikipedia qui les liste tous, ça plus votre recherche dans les fichiers de configs et nous sommes bon.

Installation, commandes générales et préparations

$ sudo apt-get install ufw
Le voilà installé et inactif pour le moment, vous n’avez pas de pare-feu. Il va nous falloir commencer par ajouter des règles de fonctionnement.
La première, comme nous sommes en ssh sur notre serveur, va être d’autoriser le ssh et ne pas se faire enfermer hors de notre serveur ce qui peut être compliqué pour la suite des évènements.

si le port ssh est inchangé :
$ sudo ufw allow ssh
ou
$ sudo ufw allow 22
si le port ssh est modifié :
$ sudo ufw allow votre_port

Par défaut, UFW est stoppé à l’installation mais nous pouvons faire une vérification:
$ sudo ufw status
en réponse nous obtenons sois : Status: active ou Status: Inactive

comme nous avons ajoutés la règle nécessaire pour le tunnel ssh nous obtenons maintenant pour Ufw status:
$ sudo ufw status
To Action From
-- ----------- ------
22 ALLOW Anywhere
22 ALLOW Anywhere (v6)

Normalement, à partir de ce moment, nous n’avons plus de risque de nous faire enfermer par notre pare-feu puisque nous avons défini le port ssh. Mais ne l’activons pas encore et rajoutons les autres ports.

Autoriser, refuser et gestion d’une plage entière de ports

Bon, nous avons vu comment ajouter une règle attaquons le reste.

autoriser un accès(comme pour ssh mais pour apache2/Nginx)

$ sudo ufw allow 80
To Action From
-- ----------- ------
80 ALLOW Anywhere
80 ALLOW Anywhere (v6)

refuser un accès (pas de mail par exemple)

$ sudo ufw deny 25
To Action From
------ ----------- ------
25 DENY Anywhere
25 DENY Anywhere (v6)

gestion d’une plage de ports(exemple proftpd en passif)

la sélection d’une plage de ports nécessite de préciser tcp ou udp
$ sudo ufw allow 49152:65534/tcp
To Action From
------ ----------- ------
49152:65534/tcp ALLOW Anywhere
49152:65534/tcp ALLOW Anywhere (v6)

Il est également possible de faire la même chose avec des adresses IP, exemple :
$ sudo ufw allow from 192.168.0.104
To Action From
-- ----------- ------
Anywhere ALLOW 192.168.0.104

Suppression d’une règle ou de toute les règles

il existe plusieurs méthodes ici également.
$ sudo ufw delete allow ssh
ou
$ sudo ufw delete allow 22

et nous voilà maintenant à la solution finale, tout supprimer !!!
$ sudo ufw reset
Resetting all rules to installed defaults. Proceed with operation (y|n)? y

La fin !

Voilà, la fin est là, il est maintenant évident que Ufw est une perle dans la jungle que représente Iptables.
Je vous laisse donc avec un lien pour la suite et approfondir les choses.
http://doc.ubuntu-fr.org/ufw
Bonne prise en main.


Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

dix-neuf − 11 =