[Pare-feu] UFW
Introduction
Le pare-feu UFW pour Uncomplicated Firewall est une surcouche à iptables qui permet de mettre en place des règles de pare-feu sur un système Linux en ligne de commande. Une version GUI de cette application a été implémentée (GUFW).
Source
Installation
sudo apt install -y ufwManuel
Afficher les règles en place
ufw status [verbose]Définir une politique par défaut
- Autoriser le trafic entrant suivant les règles par défaut :
ufw default allow- Refuser le trafic entrant suivant les règles par défaut :
ufw default deny- Autoriser le trafic sortant suivant les règles par défaut :
ufw default allow outgoing- Refuser le trafic sortant suivant les règles par défaut :
ufw default deny outgoingAjout de règle de trafic entrant
- Syntaxe de règle des flux entrants :
ufw [allow|deny] [PORT]/[TCP|UDP]Exemple :
ufw allow 22/tcpAjout de règle de trafic sortant
- Syntaxe de règle des flux sortants :
ufw [allow|deny] outgoing [PORT]/[TCP|UDP]Exemple :
ufw allow outgoing 80/tcpActiver le pare-feu
ufw enableDésactiver le pare-feu
ufw disablePolitique ICMP
Par défaut, UFW ne prend pas en charge la gestion de flux ICMP. Cependant, il est possible d'ajouter des règles iptables dans le fichier de configuration /etc/ufw/before.rule pour gérer ces flux.
Autoriser le ping entrant (actif par défaut)
# ok icmp codes for INPUT
-A ufw-before-input -p icmp --icmp-type destination-unreachable -j ACCEPT
-A ufw-before-input -p icmp --icmp-type time-exceeded -j ACCEPT
-A ufw-before-input -p icmp --icmp-type parameter-problem -j ACCEPT
-A ufw-before-input -p icmp --icmp-type echo-request -j ACCEPTAutoriser le ping sortant (inactif par défaut)
# ok icmp codes for OUTPUT
-A ufw-before-output -p icmp --icmp-type destination-unreachable -j ACCEPT
-A ufw-before-output -p icmp --icmp-type time-exceeded -j ACCEPT
-A ufw-before-output -p icmp --icmp-type parameter-problem -j ACCEPT
-A ufw-before-output -p icmp --icmp-type echo-request -j ACCEPT