Le pare-feu tout simplement

Ubuntu 8.04 LTS Hardy Heron introduit un nouvel outil de configuration simplifié en ligne de commande de NetFilter en complément de l'outil déjà disponible IPTables et devrait à terme permettre une configuration automatique du pare-feu lors de l'installation de programmes en ayant besoin.

À noter qu'une interface graphique sous Gnome est en développement : Gufw.

Uncomplicated Firewall est pré-installé, mais si besoin vous devez simplement installer le paquet ufw.

L'outil UFW n'est pas activé par défaut, il vous faut donc avoir les droits administrateur en ligne de commande.

Activer UFW :

sudo ufw enable

Désactiver UFW :

sudo ufw disable

Autoriser le trafic entrant suivant les règles par défaut :

sudo ufw default allow

Refuser le trafic entrant suivant les règles par défaut :

sudo ufw default deny

sudo ufw status

Cette commande devrait vous afficher quelque chose comme ça :

Firewall loaded

To                      Action  From
--                      ------  ----
apache2                 DENY    Anywhere        Apache Webserver     
openssh-server          ALLOW   Anywhere        SSH Logins           
192.168.0.2 pop3s       ALLOW   Anywhere                             
named                   DENY    Anywhere        WARNING: New service 
tcp:8082                DENY    10.0.0.0/8                           
tcp:25                  ALLOW   192.168.0.0/24                       
ntp                     ALLOW*  Anywhere                             
imaps                   ALLOW** Anywhere                             
tcp:23                  ALLOW** Anywhere                             
jabberd2                ALLOW** Anywhere                             


* rule for removed package 'ntpd'
** services not running

Activer la journalisation :

sudo ufw logging on

Désactiver la journalisation :

sudo ufw logging off

Autoriser :

sudo ufw allow [règle]

Refuser :

sudo ufw deny [règle]

Supprimer :

sudo ufw delete allow [règle]

Voici quelques exemples pour comprendre la syntaxe des règles de configuration.

• Ouverture du port 53 en TCP et UDP :

  sudo ufw allow 53

• Ouverture du port 25 en TCP uniquement :

  sudo ufw allow 25/tcp

UFW regarde dans sa liste de services connus pour appliquer les règles standards associées à ces services (apache2, smtp, imaps, etc.) :

• Autoriser le service SMTP :

  sudo ufw allow smtp

L'écriture de règles plus complexes est également possible :

• Refuser le protocole (proto) TCP à (to) tout le monde (any) sur le port (port) 80 :

  sudo ufw deny proto tcp to any port 80

• Refuser à (to) l'adresse 192.168.0.1 de recevoir sur le port (port) 25 les données provenant (from) du réseau de classe A et utilisant le protocole (proto) TCP :

  sudo ufw deny proto tcp from 10.0.0.0/8 to 192.168.0.1 port 25

• Refuser les données provenant (from) de 1.2.3.4 utilisant le protocole (proto) UDP sur le port (port) 514 :

  sudo ufw deny proto udp from 1.2.3.4 to any port 514

UFW prend en charge les adresses IPv6 (certains utilisateurs apprécieront), mais nécessite une configuration complémentaire pour activer ce support.

Pour cela il suffit de modifier le fichier /etc/default/ufw et d'y mettre ceci :

IPV6=yes

Il ne reste plus qu'à désactiver et activer de nouveau UFW :

sudo ufw disable
sudo ufw enable

• Source : https://wiki.ubuntu.com/UbuntuFirewall (en)

Contributeurs : YoBoY.