Prise en main de UFW (Pare-feu simplifié) sur Ubuntu 22.04

UFW ou Pare-feu simplifié est une application pour gérer un pare-feu basé sur iptables sur Ubuntu. UFW est l’outil de configuration de pare-feu par défaut pour Ubuntu Linux et fournit un moyen convivial de configurer le pare-feu. La commande UFW est comme l’anglais, donc les commandes sont faciles à retenir. Le pare-feu UFW prend en charge IPv4 et IPv6.

UFW fournit également une application GUI. Si vous utilisez un bureau GNOME, vous pouvez installer gufw ; si vous utilisez un bureau KDE, vous pouvez installer kcm-ufw.

Prérequis

• Version d’Ubuntu entre 16.04 et 22.04. Les versions plus récentes d’Ubuntu devraient également fonctionner.
• Privilèges root

Qu’est-ce qui est couvert dans ce tutoriel ?

1. Installation de UFW.
2. La syntaxe de commande de base de UFW.
3. La commande UFW Allow et Deny.
4. Commandes avancées UFW.
5. Suppression d’une règle dans UFW.
6. Désactiver et réinitialiser UFW.

Installation de UFW

Par défaut, UFW devrait déjà être installé sur Ubuntu 20.04. Vous pouvez tester cela avec la commande :

which ufw

S’il ne renvoie pas le chemin de la commande comme indiqué ci-dessus, alors installez UFW avec la commande apt suivante :

sudo apt install ufw

Ensuite, exécutez la commande suivante pour activer UFW :

sudo ufw enable

Résultat :

La commande peut perturber les connexions ssh existantes. Poursuivre l'opération (y|n) ? y  
Le pare-feu est actif et activé au démarrage du système

La commande de base UFW

La commande “ufw enable” activera UFW avec les règles par défaut. Vous pouvez vérifier que UFW fonctionne en émettant cette commande :

sudo ufw status verbose

Résultat :

Statut : actif  
Journalisation : activée (faible)  
Par défaut : refuser (entrant), autoriser (sortant), désactivé (routé)  
Nouveaux profils : ignorer

Si vous souhaitez désactiver ou éteindre UFW, vous pouvez utiliser :

sudo ufw disable

Résultat :

Le pare-feu a été arrêté et désactivé au démarrage du système

La commande UFW Allow et Deny

1. Commande UFW Allow

UFW refusera toutes les connexions entrantes après que vous l’ayez activé. Donc, la première chose que vous devriez faire est d’autoriser l’accès SSH pour le serveur si vous souhaitez gérer le système à distance. La commande “ufw allow sshport” permet l’accès par SSH, remplacez SSHPORT par le port du service SSH, le port SSH par défaut est 22.

sudo ufw allow 22

Résultat :

Règles mises à jour  
Règles mises à jour (v6) #Pour IPv6

Si vous souhaitez autoriser les connexions entrantes sur le port 22 uniquement pour TCP, ajoutez à la fin de la commande “/ tcp “ comme montré dans l’exemple suivant.

sudo ufw allow 22/tcp

Lorsque le service auquel vous souhaitez autoriser l’accès écoute sur son port par défaut, vous pouvez utiliser le nom du service au lieu du numéro de port. Cela facilite l’ouverture du port car vous ne connaissez peut-être pas le port. UFW recherchera le numéro de port correct dans /etc/services pour vous.

Cette commande ouvrira le port SSH par défaut :

sudo ufw allow ssh

Maintenant, vérifiez la règle avec :

sudo ufw status

2. Commande UFW Deny

La commande “deny” fonctionne de manière similaire à la commande “allow” et est utilisée pour fermer un port dans le pare-feu :

Refuser avec l’option Port :

sudo ufw deny 80

Résultat :

Règle mise à jour  
Règle mise à jour (v6)

Exemple pour “deny” avec le nom du service. Dans cet exemple, je vais bloquer le port http/80 :

sudo ufw deny http

Remarque :

Tous les ports et leurs noms de service sont répertoriés dans le fichier “/etc/services”.

Commandes avancées UFW

Maintenant, nous allons approfondir la syntaxe des commandes UFW, apprendre à autoriser des plages de ports (par exemple, pour les ports passifs FTP), et accéder à partir d’une seule adresse IP ou sous-réseau uniquement.

1. Autoriser une plage de ports

Vous pouvez autoriser une plage de ports dans UFW. Certains services comme FTP ou IRC utilisent une plage de ports pour communiquer avec leurs clients.

Pour cet exemple, nous allons autoriser la plage de ports utilisée par ircd sur mon serveur. La plage est le port 6660 à 6670 :

sudo ufw allow 6660:6670/tcp  
sudo ufw allow 6660:6670/udp

La commande autorisera les connexions aux ports 6660-6670 via le protocole TCP et UDP.

2. Autoriser une adresse IP spécifique

Et vous pouvez ajouter une adresse IP spécifique pour autoriser l’accès à tous les services en ajoutant l’option “ from “. Cela est par exemple utile si vous avez une adresse IP statique à la maison ou au bureau et que vous souhaitez autoriser l’accès à tous les services sur votre serveur depuis là. La commande ci-dessous autorisera l’IP 192.168.1.106 à accéder à tous les ports sur le serveur :

sudo ufw allow from 192.168.1.106

Résultat :

Règle ajoutée

3. Autoriser un sous-réseau

Si vous souhaitez autoriser toutes les adresses IP de votre sous-réseau, vous pouvez ajouter le sous-réseau IP (plage d’adresses IP) à la commande UFW comme ceci :

sudo ufw allow from 192.168.1.1/24

Résultat :

WARN : Règle changée après normalisation  
Règle ajoutée

4. Autoriser l’accès d’une adresse IP spécifique à un port

Si vous souhaitez autoriser l’accès à un port à partir d’une adresse IP spécifique uniquement, vous pouvez combiner les commandes UFW que nous avons apprises ci-dessus.

Par exemple, seule l’IP 192.168.1.106 peut accéder à ssh port 22 TCP, et d’autres IP seront rejetées de ce port, vous pouvez utiliser la commande suivante :

sudo ufw allow from 192.168.1.106 proto tcp to any port 22

Résultat :

Règle ajoutée

5. Autoriser tout le trafic entrant vers un port spécifique

Si vous souhaitez autoriser tout le trafic sur le port 80, vous pouvez utiliser cette commande :

sudo ufw allow to any port 80

Suppression d’une règle de pare-feu UFW

Dans cette section, vous apprendrez comment supprimer une règle qui est enregistrée dans UFW. Vous pouvez utiliser la commande “ delete “ pour supprimer la règle ufw. Veuillez taper la commande “ ufw delete “ suivie de l’option que vous souhaitez supprimer, allow ou deny.

Voici quelques exemples :

Suppression de la règle allow SSH avec le nom du service :

sudo ufw delete allow ssh

Résultat :

Règle supprimée  
Règle supprimée (v6)

Cette commande supprimera la règle “ allow ssh “. Faites attention, ne vous verrouillez pas hors du serveur.

Supprimer la règle “deny” sur le port 80 :

sudo ufw delete deny 80

Résultat :

Règle supprimée  
Règle supprimée (v6)

Si vous avez une règle complexe, il existe un moyen simple d’identifier et de supprimer la règle par son ID de règle. Exécutez la commande suivante pour obtenir une liste de toutes les règles avec leurs ID :

sudo ufw status numbered

Résultat :

Statut : actif  
   
     À                             Action      De  
     --                           ------      ----  
[ 1] 22/tcp                     ALLOW IN    N'importe où  
[ 2] 22/tcp (v6)                ALLOW IN    N'importe où (v6)

Maintenant, supprimez la règle SSH uniquement pour IPv6 en utilisant le numéro de la règle :

sudo ufw delete 2

Désactiver et réinitialiser UFW

Si vous souhaitez éteindre UFW sans supprimer vos règles, vous pouvez utiliser la commande “ disable “ :

sudo ufw disable

Résultat :

Le pare-feu a été arrêté et désactivé au démarrage du système

Si vous souhaitez éteindre complètement UFW et supprimer toutes les règles, vous pouvez utiliser la commande “ reset “ :

sudo ufw reset

Résultat :

Réinitialisation de toutes les règles aux valeurs par défaut installées. Cela peut perturber les connexions ssh existantes. Poursuivre l'opération (y|n) ? y  
Sauvegarde de 'after6.rules' dans '/etc/ufw/after6.rules.20150918_190351'  
Sauvegarde de 'user.rules' dans '/lib/ufw/user.rules.20150918_190351'  
Sauvegarde de 'after.rules' dans '/etc/ufw/after.rules.20150918_190351'  
Sauvegarde de 'before.rules' dans '/etc/ufw/before.rules.20150918_190351'  
Sauvegarde de 'before6.rules' dans '/etc/ufw/before6.rules.20150918_190351'  
Sauvegarde de 'user6.rules' dans '/lib/ufw/user6.rules.20150918_190351'

Conclusion

UFW (Pare-feu simplifié) est l’outil de configuration de pare-feu par défaut dans Ubuntu. Les commandes UFW sont similaires à l’anglais, ce qui les rend faciles à utiliser et à retenir. Ce tutoriel UFW est un guide pour commencer avec cet outil de pare-feu agréable si vous souhaitez en savoir plus sur UFW, vous pouvez vous rendre sur le wiki d’ubuntu ou la page de manuel ufw.