Utiliser ufw sur un serveur ubuntu

UFW (Uncomplicated Firewall) est un pare-feu simple à utiliser sur Ubuntu qui permet de gérer les règles de pare-feu. Voici un guide sur la façon de l’utiliser sur un serveur Ubuntu pour sécuriser les connexions entrantes et sortantes.

Étape 1 : Vérifier l’état de UFW

Avant tout, tu dois vérifier si ufw est déjà activé ou non.

sudo ufw status

Si ufw est désactivé, tu verras un message du type :

Status: inactive

Étape 2 : Activer UFW

Si ufw n’est pas activé, tu peux l’activer avec la commande suivante :

sudo ufw enable

SSH

Si tu accèdes à ton serveur à distance via SSH, assure-toi d’ajouter une règle autorisant le trafic SSH avant d’activer ufw pour ne pas te verrouiller.

Pour autoriser SSH (port 22 par défaut), exécute la commande suivante :

sudo ufw allow ssh

Étape 3 : Autoriser des services spécifiques

Tu peux autoriser ou bloquer des services spécifiques en fonction de tes besoins. Voici quelques exemples courants :

Autoriser SSH (port 22) :

sudo ufw allow ssh

Autoriser HTTP (port 80) :

sudo ufw allow http

Autoriser HTTPS (port 443) :

sudo ufw allow https

Autoriser Nginx (HTTP et HTTPS) :

Si tu utilises Nginx, tu peux autoriser tous les ports nécessaires avec une commande dédiée :

sudo ufw allow 'Nginx Full'

Cela ouvrira à la fois le port 80 (HTTP) et 443 (HTTPS).

Étape 4 : Bloquer des services spécifiques

De même, tu peux bloquer certains services. Par exemple, pour bloquer un port spécifique :

sudo ufw deny 8080

Étape 5 : Autoriser/Bloquer un port spécifique

Pour ouvrir un port spécifique, par exemple le port 8080, utilise cette commande :

sudo ufw allow 8080

Pour bloquer un port :

sudo ufw deny 8080

Étape 6 : Autoriser/Bloquer des plages de ports

Si tu as besoin d’autoriser une plage de ports (par exemple, les ports 5000 à 6000), tu peux le faire comme ceci :

sudo ufw allow 5000:6000/tcp

Remplace tcp par udp si nécessaire.

Étape 7 : Restreindre l’accès à une IP spécifique

Si tu veux limiter l’accès à une IP spécifique, tu peux autoriser une IP particulière à accéder à un port :

sudo ufw allow from 192.168.1.100 to any port 22

Cela permettra à l’adresse IP 192.168.1.100 d’accéder uniquement au port 22 (SSH).

Étape 8 : Désactiver UFW

Si pour une raison quelconque tu souhaites désactiver ufw, tu peux le faire avec la commande suivante :

sudo ufw disable

Étape 9 : Afficher les règles actives

Pour voir toutes les règles actuellement appliquées par ufw, utilise la commande :

sudo ufw status verbose

Cela affichera les règles avec des informations supplémentaires sur l’état du pare-feu.

Étape 10 : Réinitialiser UFW

Si tu veux effacer toutes les règles de pare-feu et réinitialiser ufw à son état d’origine :

sudo ufw reset

Cela désactive également ufw.

Exemple de configuration pour un serveur web

Si tu exécutes un serveur Nginx, voici un exemple typique de configuration ufw :

Autoriser SSH (port 22) pour pouvoir te connecter au serveur à distance.

Autoriser HTTP (port 80) et HTTPS (port 443) pour un site web.

Bloquer tout le reste par défaut.

sudo ufw allow ssh
sudo ufw allow 'Nginx Full'
sudo ufw default deny incoming
sudo ufw default allow outgoing
sudo ufw enable

Cela permet :

Le trafic SSH, HTTP et HTTPS entrants.

Bloque tout autre trafic entrant.

Autorise tout le trafic sortant.

Conclusion

Avec ufw, tu peux facilement configurer et gérer ton pare-feu pour sécuriser ton serveur Ubuntu en quelques commandes. En utilisant des règles simples, tu peux autoriser et bloquer l’accès à des services et des ports spécifiques tout en maintenant un niveau de sécurité élevé.

Jean-François Giraud

2 octobre 2024