Utiliser UFW comme firewall sous Linux

Si vous avez déjà essayé d’utiliser iptables sur votre serveur Linux vous serez (probablement) d’accord pour dire qu’il n’est pas nécessairement facile à prendre en mains lorsque l’on est novice.

Il est clair qu’il est puissant et que vous pouvez faire beaucoup de choses. Cela étant, il n’en reste pas moins compliqué à utiliser pour peu que les règles que vous souhaitiez mettre en place soient un peu complexes… 🙁

A l’inverse, si vos besoins sont simples. Vous voulez simplement ouvrir et fermer des ports – ni plus, ni moins. Dans ce cas, je vous encourage vivement à tester le firewall UFW pour Un-complicated Firewall

Il s’agit d’un firewall qui est désormais intégré sur les distributions Linux de type Ubuntu et il vous permettra de faire le lien avec iptables sans la complexité des commandes de ce dernier.

Pour l’installer, ajoutez simplement le package UFW (dans le cas de la distribution Ubuntu, ce package est installé par défaut) :

Pour connaître, l’état de votre firewall (actif ou non), utilisez la commande suivante :

sudo ufw status

Pour obtenir la liste de toutes les commandes disponibles pour utiliser UFW, exécutez la commande suivante :

sudo ufw help

Pour l’activer :

sudo ufw enable

Pour le désactiver :

sudo ufw disable

Attention, si vous activez votre firewall n’oubliez pas de créer une règle autorisant le SSH sur le port que vous utilisez (par défaut 22/TCP) – sinon, vous risquez de vous couper les ailes. 😉

Pour autoriser le SSH, FTP ou n’importe quel autre port, utilisez la commande suivante :

sudo ufw allow 22

Utilisez la commande “status” pour voir à tout moment quelles sont les règles actuellement configurées. 🙂

Pour supprimer une règle, utilisez la commande suivante :

sudo ufw delete allow 21

Si vous ne souhaitez plus autoriser le port 21 (et que vous aviez préalablement fait une règle qui l’autorisait).

Par défaut, notre firewall est configuré en mode “Deny. Ce qui veut dire qu’il va refuser tout ce qui n’est pas autorisé. Mais vous pourriez changer ce comportement.

Pour effectuer une règle qui refuse un port, utilisez la même commande que précédemment mais avec le mot clé Deny :

sudo ufw deny 21

Vous pouvez également utiliser le mot clé Reject.

Pour bien comprendre la différence entre Reject et Deny : si vous configurez un port en Deny, votre serveur ne va pas répondre et ignorer la requête (si vous tentez un Telnet sur ce port la réponse va donc prendre un peu de temps jusqu’au timedout). Si vous utilisez le terme Reject, en revanche, votre serveur va explicitement “rejeter” la connexion sur ce port – sans attendre.

Alors, c’est quand même beaucoup plus simple que iptables, non ? 😉