Introduction
Bienvenue dans ce laboratoire pratique sur l'activation d'un pare-feu de base. Sécuriser un serveur est une tâche essentielle pour tout administrateur système, et un pare-feu constitue la première ligne de défense contre tout accès réseau non autorisé.
Dans ce laboratoire, vous travaillerez avec UFW (Uncomplicated Firewall), une interface conviviale pour gérer les règles de pare-feu iptables sur les systèmes Debian et Ubuntu. UFW est conçu pour être simple et intuitif, rendant la gestion de base du pare-feu accessible à tous. Vous apprendrez à installer UFW, à ajouter des règles pour autoriser un trafic spécifique, à activer et désactiver le pare-feu, et à vérifier son état.
À la fin de ce laboratoire, vous aurez une solide compréhension de la manière d'effectuer les opérations essentielles du pare-feu en utilisant UFW.
Installation d'UFW avec la commande apt install ufw -y
Dans cette étape, vous allez installer le Pare-feu Sans Complexité (Uncomplicated Firewall - UFW). Bien qu'UFW soit inclus dans de nombreuses distributions Ubuntu, il est de bonne pratique de s'assurer qu'il est installé ou de l'installer s'il est manquant. Nous utiliserons le gestionnaire de paquets apt pour cela.
Tout d'abord, il est toujours conseillé de mettre à jour votre liste de paquets pour vous assurer d'obtenir les dernières versions disponibles.
Exécutez la commande suivante dans votre terminal :
sudo apt update
Vous verrez une sortie indiquant la mise à jour des listes de paquets depuis les dépôts.
Maintenant, procédez à l'installation d'UFW. L'indicateur -y répond automatiquement "oui" à toute invite pendant le processus d'installation.
sudo apt install ufw -y
Une fois la commande terminée, UFW sera installé sur votre système. Vous devriez voir une sortie similaire à ce qui suit, indiquant une installation réussie :
Reading package lists... Done
Building dependency tree... Done
Reading state information... Done
The following NEW packages will be installed:
ufw
0 upgraded, 1 newly installed, 0 to remove and ... not upgraded.
Need to get ...
After this operation, ... of additional disk space will be used.
...
Setting up ufw (...)
...
À ce stade, UFW est installé mais pas encore actif. Dans l'étape suivante, vous configurerez une règle avant de l'activer.
Autoriser le trafic HTTP avec la commande ufw allow 80
Dans cette étape, vous allez ajouter une règle de pare-feu pour autoriser le trafic HTTP entrant. Par défaut, UFW refuse toutes les connexions entrantes. Si vous exécutiez un serveur web, vous auriez besoin de créer une règle pour autoriser explicitement les utilisateurs à y accéder. Le trafic HTTP utilise le port 80.
Vous pouvez ajouter une règle en utilisant la commande ufw allow suivie du numéro de port ou du nom du service.
Exécutez la commande suivante pour autoriser le trafic sur le port 80 :
sudo ufw allow 80
Vous verrez une confirmation que la règle a été ajoutée. UFW est suffisamment intelligent pour ajouter la règle pour le trafic IPv4 et IPv6, c'est pourquoi vous voyez deux lignes dans la sortie.
Rule added
Rule added (v6)
Cette règle est maintenant configurée, mais elle ne prendra effet qu'une fois le pare-feu activé, ce que vous ferez à l'étape suivante. C'est une pratique sûre, car elle vous permet de configurer toutes les règles nécessaires (par exemple, pour SSH) avant d'activer le pare-feu et de vous potentiellement vous bloquer vous-même.
Activer le pare-feu avec la commande ufw enable
Dans cette étape, vous allez activer le pare-feu. Le simple fait d'installer UFW et d'ajouter des règles n'est pas suffisant ; le service de pare-feu doit être en cours d'exécution pour que les règles soient appliquées.
Avant d'activer le pare-feu, il est important d'autoriser le trafic SSH pour éviter d'être déconnecté du système. SSH utilise le port 22 par défaut.
sudo ufw allow ssh
Vous verrez la confirmation que la règle SSH a été ajoutée :
Rule added
Rule added (v6)
Vous pouvez maintenant activer UFW en toute sécurité. Utilisez la commande ufw enable.
sudo ufw enable
Le pare-feu sera activé et la sortie confirmera qu'il est maintenant actif et qu'il sera activé automatiquement au démarrage du système.
Firewall is active and enabled on system startup
Votre pare-feu est maintenant opérationnel et applique les règles que vous avez définies, y compris l'autorisation de l'accès SSH.
Vérifier le statut avec la commande ufw status
Dans cette étape, vous apprendrez comment vérifier l'état de votre pare-feu et visualiser les règles actives. C'est une commande essentielle pour valider votre configuration.
Pour obtenir un rapport d'état de base, utilisez la commande ufw status.
sudo ufw status
La sortie indiquera que le pare-feu est actif et listera les règles que vous avez configurées. Vous devriez voir les règles pour SSH et le port 80 que vous avez ajoutées.
Status: active
To Action From
-- ------ ----
80 ALLOW Anywhere
80 (v6) ALLOW Anywhere (v6)
22 ALLOW Anywhere
22 (v6) ALLOW Anywhere (v6)
Pour une vue plus détaillée, vous pouvez utiliser l'option verbose. Celle-ci affichera également les politiques par défaut.
sudo ufw status verbose
La sortie détaillée fournit plus de contexte, y compris la politique par défaut pour le trafic entrant, sortant et routé. Par défaut, UFW refuse tout trafic entrant et autorise tout trafic sortant.
Status: active
Logging: on (low)
Default: deny (incoming), allow (outgoing), disabled (routed)
New profiles: skip
To Action From
-- ------ ----
80/tcp ALLOW IN Anywhere
80/tcp (v6) ALLOW IN Anywhere (v6)
22/tcp ALLOW IN Anywhere
22/tcp (v6) ALLOW IN Anywhere (v6)
Vérifier régulièrement le statut est une bonne pratique pour s'assurer que votre pare-feu est configuré comme prévu.
Désactiver et supprimer les règles avec la commande ufw disable
Dans cette étape, vous apprendrez comment désactiver le pare-feu et supprimer les règles existantes. Vous pourriez avoir besoin de le faire pour la maintenance, le dépannage, ou pour reconfigurer votre pare-feu à partir de zéro.
Tout d'abord, désactivons le pare-feu. Cela empêchera UFW de filtrer le trafic réseau.
sudo ufw disable
La sortie confirmera que le service a été arrêté.
Firewall stopped and disabled on system startup
Ensuite, supprimons la règle que nous avons ajoutée. Bien que le pare-feu soit désactivé, les règles sont toujours stockées dans la configuration. Pour supprimer une règle spécifique, vous pouvez d'abord les lister avec des numéros en utilisant ufw status numbered.
sudo ufw status numbered
Status: inactive
Puisque le pare-feu est inactif, réactivons-le pour voir les règles numérotées.
sudo ufw enable
sudo ufw status numbered
La sortie ressemblera à ceci :
Status: active
To Action From
-- ------ ----
[ 1] 80 ALLOW IN Anywhere
[ 2] 80 (v6) ALLOW IN Anywhere (v6)
[ 3] 22 ALLOW IN Anywhere
[ 4] 22 (v6) ALLOW IN Anywhere (v6)
Vous pouvez maintenant supprimer une règle par son numéro. Supprimons la première règle (pour IPv4).
sudo ufw delete 1
UFW demandera une confirmation. Dans cet environnement, il procédera automatiquement. Vous verrez une confirmation que la règle a été supprimée.
Deleting:
allow 80
Proceed with operation (y|n)?
Rule deleted
Enfin, si vous souhaitez réinitialiser complètement UFW à son état par défaut, en supprimant toutes les règles et en le désactivant, vous pouvez utiliser la commande ufw reset.
sudo ufw reset
Cette commande est très utile pour recommencer avec une configuration de pare-feu propre.
Résumé
Félicitations pour avoir terminé ce laboratoire ! Vous avez réussi à apprendre les bases de la gestion d'un pare-feu sur un système Linux en utilisant UFW.
Dans ce laboratoire, vous vous êtes exercé à :
- Installer UFW en utilisant le gestionnaire de paquets
apt. - Ajouter des règles pour autoriser le trafic spécifique avec
ufw allow. - Activer et mettre en service le pare-feu avec
ufw enable. - Vérifier le statut et les règles du pare-feu avec
ufw status. - Désactiver le pare-feu et supprimer des règles avec
ufw disableetufw delete.
Maîtriser ces commandes de base vous fournit un outil puissant pour améliorer la sécurité de vos serveurs. Configurer correctement un pare-feu est une compétence fondamentale en administration système et en sécurité réseau.
