UFW, acronyme de Uncomplicated FireWall, est une interface pour iptables, permettant de simplifier le processus de configuration d’un pare-feu. Nous allons voir dans cette article comme l’installer et ensuite autoriser les connexion SSH.
Installation de UFW
En étant identifié avec un utilisateur ayant les droits sudo, exécuter la commande suivante :sudo apt-get install ufw
Utilisation d’IPv6
Si IPv6 est activé sur le serveur, il faut s’assurer qu’UFW est bien configuré pour le prendre en charge.
Pour ce faire, ouvrir le fichier de configuration UFW à l’aide d’un éditeur de texte (vi, nano…) :sudo vi /etc/default/ufw
la valeur de IPV6 doit être yes. Si ce n’est pas le cas, modifier la valeur et enregistrer les modifications :IPV6=yes
Configuration de base
Une fois le pare-feu installé, la première chose à faire est de configurer les stratégies par défaut. Il s’agit de règles s’appliquant au trafic qui ne correspond à aucune règle spécifique. Par défaut, UFW refuse toutes les connexions entrantes et autorisent toutes les connexions sortantes : votre serveur est « imperméable » au monde extérieur, mais par contre les applications installées sur celui-ci peuvent sortir à leur guise.
Voici les commandes pour définir les règles par défaut :sudo ufw default deny incoming
sudo ufw default allow outgoing
Autoriser les connexions SSH
Si vous accédez à votre serveur via une connexion SSH, il sera nécessaire de configurer UFW pour l’autoriser avant de l’activer (auquel cas vous serez éjectés sans façons).
Pour autoriser les connexions SSH entrantes, exécuter la commande suivante :sudo ufw allo ssh
Cela va implicitement créer la règle de pare-feu autorisant les connexion sur le port 22 (port SSH par défaut).
Activer le pare-feu
La phase de configuration étant terminée, il est temps d’activer le pare-feu via la commande : sudo ufw enable
Vérifier le statut du pare-feu et visualiser les règles actives
Commande permettant de voir le statut du pare-feu (actif / inactif) :sudo ufw status
Résultat :
Commande permettant de voir le statut ainsi que les règles actives :sudo ufw status verbose
Résultat :
