Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentes Révision précédente
Prochaine révision
Révision précédente
ufw [Le 03/05/2016, 17:31]
85.218.40.80 [Les commandes de base] m
ufw [Le 01/01/2023, 03:12] (Version actuelle)
Benjamin Loison Uniformisation de la mise en page
Ligne 1: Ligne 1:
-{{tag>Precise Trusty ​console pare-feu réseau sécurité}}+{{tag>Xenial ​console pare-feu réseau sécurité}}
  
 ---- ----
Ligne 5: Ligne 5:
 ====== Uncomplicated Firewall ====== ====== Uncomplicated Firewall ======
  
-//Le pare-feu tout simplement//​+//Le pare-feu tout simplement.//
  
 UFW est un nouvel outil de configuration simplifié en [[:​console|ligne de commande]] de [[wpfr>​Netfilter]],​ qui donne une alternative à l'​outil [[:​iptables]]. UFW devrait à terme permettre une configuration automatique du pare-feu lors de l'​installation de programmes en ayant besoin. ​ UFW est un nouvel outil de configuration simplifié en [[:​console|ligne de commande]] de [[wpfr>​Netfilter]],​ qui donne une alternative à l'​outil [[:​iptables]]. UFW devrait à terme permettre une configuration automatique du pare-feu lors de l'​installation de programmes en ayant besoin. ​
Ligne 11: Ligne 11:
 <note tip>Si vous désirez activer et configurer votre pare-feu sur un ordinateur profitant d'un environnement de bureau, sachez qu'il existe une interface graphique pour UFW : [[:Gufw]]. <note tip>Si vous désirez activer et configurer votre pare-feu sur un ordinateur profitant d'un environnement de bureau, sachez qu'il existe une interface graphique pour UFW : [[:Gufw]].
  
-Il existe également une interface spécialement ​adapté ​pour KDE (Kubuntu) depuis Trusty (14.04) : [[:​tutoriel:​comment_installer_un_paquet|installer le paquet]] [[apt>​ufw-kde|ufw-kde]]. Pour les versions antérieures,​ voir éventuellement [[https://​projects.kde.org/​projects/​playground/​sysadmin/​ufw-kde|ici]].</​note>​+Il existe également une interface spécialement ​adaptée ​pour KDE (Kubuntu) :​ [[:​tutoriel:​comment_installer_un_paquet|installer le paquet]] ​**[[apt>​ufw-kde]]**.</​note>​
  
  
 ===== Installation ===== ===== Installation =====
  
-Uncomplicated Firewall est pré-installé sous Ubuntu, mais si besoin vous devez simplement [[:​tutoriel:​comment_installer_un_paquet|installer le paquet]] [[apt>ufw|ufw]].\\+**Uncomplicated Firewall** est pré-installé sous Ubuntu, mais en cas de besoinvous devrez ​simplement [[:​tutoriel:​comment_installer_un_paquet|installer le paquet]] ​**[[apt>​ufw]]**.\\
  
  
Ligne 33: Ligne 33:
 État : actif ou inactif État : actif ou inactif
  
-Activer UFW :+Activer UFW : (c'est à dire appliquer les règles définies)
  
   sudo ufw enable   sudo ufw enable
  
-Désactiver UFW : +Désactiver UFW : (c'est à dire ne plus appliquer les règles définies)
  
   sudo ufw disable   sudo ufw disable
Ligne 43: Ligne 43:
 ==== Afficher l'​état actuel des règles ==== ==== Afficher l'​état actuel des règles ====
  
-Une unique commande qui vous permettra de jeter un œil sur la totalité des instructions que vous avez indiquées à UFW : +Une unique commande qui vous permettra de jeter un œil sur la totalité des instructions que vous avez indiquées à UFW :
  
   sudo ufw status verbose   sudo ufw status verbose
  
-Cette commande devrait vous afficher quelque chose comme ça : +Cette commande devrait vous afficher quelque chose comme ça :
  
 <​code>​ <​code>​
Ligne 90: Ligne 90:
 23/tcp (v6)                DENY OUT    Anywhere (v6)</​code>​ 23/tcp (v6)                DENY OUT    Anywhere (v6)</​code>​
  
-Liste toutes les règles que vous avez indiquées au pare-feu. (V6) correspond aux règles adaptées pour l'​IPv6, ​celle qui n'ont pas cette précision sont adaptées pour l'​IPv4. Pour l’édition de ces règles, voir la rubrique concernant [[#​Ajouter/​supprimer des règles|l’édition des règles]].+Liste toutes les règles que vous avez indiquées au pare-feu. (V6) correspond aux règles adaptées pour l'​IPv6, ​celles ​qui n'ont pas cette précision sont adaptées pour l'​IPv4. Pour l’édition de ces règles, voir la rubrique concernant [[#​Ajouter/​supprimer des règles|l’édition des règles]].
  
 === Numéro de règle === === Numéro de règle ===
Ligne 121: Ligne 121:
 === Activer/​désactiver la journalisation === === Activer/​désactiver la journalisation ===
  
-Activer la journalisation : +Activer la journalisation :
  
   sudo ufw logging on   sudo ufw logging on
  
-Désactiver la journalisation : +Désactiver la journalisation :
  
   sudo ufw logging off   sudo ufw logging off
Ligne 151: Ligne 151:
   sudo ufw deny out [règle]   sudo ufw deny out [règle]
  
-Supprimer une règle : +Supprimer une règle :
  
-  sudo ufw delete allow "​ou ​deny" ​[règle]+  sudo ufw delete allow [règle] 
 +  sudo ufw delete ​deny [règle]
  
 Supprimer simplement une règle d'​après son [[#​numéro_de_regle|numéro]] : Supprimer simplement une règle d'​après son [[#​numéro_de_regle|numéro]] :
Ligne 167: Ligne 168:
 === La syntaxe des règles === === La syntaxe des règles ===
  
-Voici quelques exemples pour comprendre la syntaxe des règles de configuration. ​+Voici quelques exemples pour comprendre la syntaxe des règles de configuration.
  
   * Ouverture du port 53 en TCP et UDP :<​code>​sudo ufw allow 53</​code>​   * Ouverture du port 53 en TCP et UDP :<​code>​sudo ufw allow 53</​code>​
Ligne 174: Ligne 175:
 === Utilisation des services === === Utilisation des services ===
  
-UFW regarde dans sa liste de services connus pour appliquer les règles standards associées à ces services (apache2, smtp, imaps, etc..). Ces règles sont automatiquement ​convertis ​en ports.+UFW regarde dans sa liste de services connus pour appliquer les règles standards associées à ces services (apache2, smtp, imaps, etc..). Ces règles sont automatiquement ​converties ​en ports.
  
-Pour avoir la liste des services : +Pour avoir la liste des services :
 <​code>​less /​etc/​services</​code>​ <​code>​less /​etc/​services</​code>​
-Exemple ​: Autoriser le service SMTP : +1° exemple ​: Autoriser le service SMTP :
 <​code>​sudo ufw allow smtp</​code>​ <​code>​sudo ufw allow smtp</​code>​
  
Ligne 192: Ligne 193:
 === Règles complexes === === Règles complexes ===
  
-L'​écriture de règles plus complexes est également possible : +L'​écriture de règles plus complexes est également possible :
  
   * Refuser le protocole (//proto//) TCP à (//to//) tout le monde (//any//) sur le port (//port//) 80 : <​code>​sudo ufw deny proto tcp to any port 80</​code>​   * Refuser le protocole (//proto//) TCP à (//to//) tout le monde (//any//) sur le port (//port//) 80 : <​code>​sudo ufw deny proto tcp to any port 80</​code>​
Ligne 203: Ligne 204:
 Vous pouvez insérer une règle à une position précise en utilisant le [[#​numéro_de_regle|numéro]] Vous pouvez insérer une règle à une position précise en utilisant le [[#​numéro_de_regle|numéro]]
 <​code>​sudo ufw insert NUM RULE</​code>​ <​code>​sudo ufw insert NUM RULE</​code>​
-  * Insérer en numéro 2 une règle refusant le traffic ​entrant utilisant le protocole (//proto//) UDP (//to//) en direction de (//any//) toute les adresses en écoutes ​sur votre machine sur le port (//port//) 514 en provenance (//from//) de 1.2.3.4+  * Insérer en numéro 2 une règle refusant le trafic ​entrant utilisant le protocole (//proto//) UDP (//to//) en direction de (//any//) toute les adresses en écoute ​sur votre machine sur le port (//port//) 514 en provenance (//from//) de 1.2.3.4
 <​code>​sudo ufw insert 2 deny proto udp to any port 514 from 1.2.3.4</​code>​ <​code>​sudo ufw insert 2 deny proto udp to any port 514 from 1.2.3.4</​code>​
 +
 + ​===Réinitialiser UFW===
 +En cas d'​erreur de vos règles vous pouvez réinitialiser le pare feu comme au début de l'​installation en ouvrant un terminal puis vous écrivez:
 +<​code>​sudo ufw reset </​code>​
 +Vous pouvez aussi forcer sans demander d'​autorisation :
 +<​code>​sudo ufw reset --force</​code>​
   ​   ​
 ===== Configuration ===== ===== Configuration =====
Ligne 211: Ligne 218:
  
 UFW prend en charge les adresses IPv6. UFW prend en charge les adresses IPv6.
-Le support d'IPv6 est désormais activé par défaut, si ce n'est pas le cas, +Le support d'IPv6 est désormais activé par défaut, si ce n'est pas le cas,
 il suffit de [[:​tutoriel:​comment_editer_un_fichier|modifier le fichier]] **/​etc/​default/​ufw** et d'y mettre ceci :  il suffit de [[:​tutoriel:​comment_editer_un_fichier|modifier le fichier]] **/​etc/​default/​ufw** et d'y mettre ceci : 
  
 <file bash /​etc/​default/​ufw>​IPV6=yes</​file>​ <file bash /​etc/​default/​ufw>​IPV6=yes</​file>​
  
-Il ne reste plus qu'à relancer UFW : +Il ne reste plus qu'à relancer UFW :
  
   sudo ufw reload   sudo ufw reload
Ligne 226: Ligne 233:
 ==== Ne pas autoriser le ping ==== ==== Ne pas autoriser le ping ====
  
-Par défaut UFW autorise les requêtes de ping (ICMP Echo Requests). ​+Par défaut UFW autorise les requêtes de ping (ICMP Echo Requests).
 Il faut [[:​tutoriel:​comment_editer_un_fichier|éditer]] ''/​etc/​ufw/​before.rules''​ et commenter en ajoutant un "​**#​**"​ à la ligne suivante :  Il faut [[:​tutoriel:​comment_editer_un_fichier|éditer]] ''/​etc/​ufw/​before.rules''​ et commenter en ajoutant un "​**#​**"​ à la ligne suivante : 
 <​code>#​ -A ufw-before-input -p icmp --icmp-type echo-request -j ACCEPT</​code>​ <​code>#​ -A ufw-before-input -p icmp --icmp-type echo-request -j ACCEPT</​code>​
  
-==== Bloquer HADOPI ==== 
- 
-Bloquer toutes les IP de la HADOPI : 
- 
-    sudo ufw deny from 90.80.155.240/​28 
-    sudo ufw deny from 80.12.48.0/​24 
-    sudo ufw deny from 5.23.42.12/​30 
-    sudo ufw deny from 195.5.217.72/​29 
-    sudo ufw deny from 81.80.36.231 
-    sudo ufw deny from 81.80.36.232 
-    sudo ufw deny from 81.80.36.233 
-    sudo ufw deny from 81.80.36.234 
-    sudo ufw deny from 194.79.189.240/​29 
-    ​ 
-    Cette configuration de blocage ne sert strictement à rien puisque que ce n'est pas la HADOPI qui récupère les IP !!! 
  
 ===== Problèmes connus ===== ===== Problèmes connus =====
 +==== Si vous obtenez **"​ERROR:​ / is world writable ====
  
-Si vous obtenez **"​ERROR:​ / is world writable!"​** ​en voulant activer Uncomplicated Firewall, ces commandes devraient régler le problème : + en voulant activer Uncomplicated Firewall, ces commandes devraient régler le problème :
  
   sudo chown root:root /   sudo chown root:root /
-  sudo chmod 755 /+  sudo chmod 0755 / 
 +====  Si vous n'avez plus de place disque ==== 
 + Il faut penser qu'il y a un problème de refus de connexion tracé dans  **/​var/​log**. Si non résolvable,​ l'une de ces commandes pourra masquer le problème:
  
 +  sudo  ufw logging off
 +  sudo  ufw logging low
 ===== Voir aussi ===== ===== Voir aussi =====
  
  • ufw.1462289515.txt.gz
  • Dernière modification: Le 03/05/2016, 17:31
  • par 85.218.40.80