[Pare-feu] UFW

Introduction

Le pare-feu UFW pour Uncomplicated Firewall est une surcouche à iptables qui permet de mettre en place des règles de pare-feu sur un système Linux en ligne de commande. Une version GUI de cette application a été implémentée (GUFW).

image.png

Source

Installation

sudo apt install -y ufw

Manuel

Afficher les règles en place

ufw status [verbose]

Définir une politique par défaut

ufw default allow
ufw default deny
ufw default allow outgoing
ufw default deny outgoing

Ajout de règle de trafic entrant

ufw [allow|deny] [PORT]/[TCP|UDP]

Exemple :

ufw allow 22/tcp

Ajout de règle de trafic sortant

ufw [allow|deny] outgoing [PORT]/[TCP|UDP]

Exemple :

ufw allow outgoing 80/tcp

Activer le pare-feu

ufw enable

Désactiver le pare-feu

ufw disable

Politique ICMP

Par défaut, UFW ne prend pas en charge la gestion de flux ICMP. Cependant, il est possible d'ajouter des règles iptables dans le fichier de configuration /etc/ufw/before.rule pour gérer ces flux.

Autoriser le ping entrant (actif par défaut)

# ok icmp codes for INPUT
-A ufw-before-input -p icmp --icmp-type destination-unreachable -j ACCEPT
-A ufw-before-input -p icmp --icmp-type time-exceeded -j ACCEPT
-A ufw-before-input -p icmp --icmp-type parameter-problem -j ACCEPT
-A ufw-before-input -p icmp --icmp-type echo-request -j ACCEPT

Autoriser le ping sortant (inactif par défaut)

# ok icmp codes for OUTPUT
-A ufw-before-output -p icmp --icmp-type destination-unreachable -j ACCEPT
-A ufw-before-output -p icmp --icmp-type time-exceeded -j ACCEPT
-A ufw-before-output -p icmp --icmp-type parameter-problem -j ACCEPT
-A ufw-before-output -p icmp --icmp-type echo-request -j ACCEPT


Revision #3
Created 16 January 2024 09:55:47 by Elieroc
Updated 19 January 2024 21:48:54 by Elieroc