Configurer un pare-feu avec UFW sur Debian

UFW, acronyme de Uncomplicated FireWall, est une interface pour iptables, permettant de simplifier le processus de configuration d’un pare-feu. Nous allons voir dans cette article comme l’installer et ensuite autoriser les connexion SSH.

Installation de UFW

En étant identifié avec un utilisateur ayant les droits sudo, exécuter la commande suivante :
sudo apt-get install ufw

Utilisation d’IPv6

Si IPv6 est activé sur le serveur, il faut s’assurer qu’UFW est bien configuré pour le prendre en charge.

Pour ce faire, ouvrir le fichier de configuration UFW à l’aide d’un éditeur de texte (vi, nano…) :
sudo vi /etc/default/ufw

la valeur de IPV6 doit être yes. Si ce n’est pas le cas, modifier la valeur et enregistrer les modifications :
IPV6=yes

Configuration de base

Une fois le pare-feu installé, la première chose à faire est de configurer les stratégies par défaut. Il s’agit de règles s’appliquant au trafic qui ne correspond à aucune règle spécifique. Par défaut, UFW refuse toutes les connexions entrantes et autorisent toutes les connexions sortantes : votre serveur est « imperméable » au monde extérieur, mais par contre les applications installées sur celui-ci peuvent sortir à leur guise.

Voici les commandes pour définir les règles par défaut :
sudo ufw default deny incoming
sudo ufw default allow outgoing

Autoriser les connexions SSH

Si vous accédez à votre serveur via une connexion SSH, il sera nécessaire de configurer UFW pour l’autoriser avant de l’activer (auquel cas vous serez éjectés sans façons).

Pour autoriser les connexions SSH entrantes, exécuter la commande suivante :
sudo ufw allo ssh

Cela va implicitement créer la règle de pare-feu autorisant les connexion sur le port 22 (port SSH par défaut).

Activer le pare-feu

La phase de configuration étant terminée, il est temps d’activer le pare-feu via la commande :
sudo ufw enable

Vérifier le statut du pare-feu et visualiser les règles actives

Commande permettant de voir le statut du pare-feu (actif / inactif) :
sudo ufw status

Résultat :

Commande permettant de voir le statut ainsi que les règles actives :
sudo ufw status verbose

Résultat :

Partager sur :