Politiques restrictives vs pare-feu permissives
En plus de la syntaxe que vous devez savoir pour gérer un pare-feu, vous devrez définir les tâches du pare-feu pour décider quelle politique sera mise en œuvre. Il existe 2 politiques principales définissant un comportement de pare-feu et différentes façons de les mettre en œuvre.
Lorsque vous ajoutez des règles pour accepter ou refuser des paquets spécifiques, des sources, des destinations, des ports, etc. Les règles détermineront ce qui se passera avec le trafic ou les paquets qui ne sont pas classés dans vos règles de pare-feu.
Un exemple extrêmement simple serait: lorsque vous définissez si vous avez la liste blanche ou la liste noire de l'IP x.X.X.x, ce qui se passe avec le reste?.
Disons que votre trafic de liste blanche provenant de l'IP X.X.X.X.
UN permissif La politique signifierait toutes les adresses IP qui ne sont pas x.X.X.x peut se connecter, donc y.y.y.y ou z.z.z.z peut se connecter. UN contraignant La politique refuse tout le trafic provenant d'adresses qui ne sont pas x.X.X.X.
Bref, un pare-feu selon lequel tout le trafic ou les paquets qui ne sont pas définis parmi ses règles ne sont pas autorisés à passer contraignant. Un pare-feu selon lequel tout le trafic ou les paquets qui ne sont pas définis parmi ses règles sont autorisés permissif.
Les politiques peuvent être différentes pour le trafic entrant et sortant.
Iptables et UFW
Bien que les iptables soient un frontend pour les utilisateurs pour configurer les règles de pare-feu du noyau, UFW est un frontend pour configurer les iptables, ce ne sont pas des concurrents réels, le fait est que l'UFW «Il ne sera pas appliqué via UFW, des règles spécifiques pour empêcher les attaques spécifiques.
Ce tutoriel montrera les règles que je considère parmi les meilleures pratiques de pare-feu appliquées principalement, mais pas seulement avec UFW.
Si vous n'avez pas installé UFW, installez-le en fonctionnant:
# APT Installer UFW
Commencer avec UFW:
Pour commencer, activons le pare-feu au démarrage en fonctionnant:
# sudo ufw activer
Note: Si nécessaire, vous pouvez désactiver le pare-feu en utilisant la même syntaxe en remplaçant «activer» pour «désactiver» (sudo ufw désactiver).
À tout moment, vous pourrez vérifier le statut de pare-feu avec verbosité en fonctionnant:
# Sudo UFW Status Verbose
Comme vous pouvez le voir dans la production, la stratégie par défaut pour le trafic entrant est restrictive tandis que pour le trafic sortant, la politique est permissive, la colonne «désactivée (routée)» signifie que le routage et le transfert sont désactivés.
Pour la plupart des appareils, je considère qu'une politique restrictive fait partie des meilleures pratiques de pare-feu pour la sécurité, commençons donc par refuser tout le trafic, sauf celui que nous avons défini comme acceptable, un pare-feu restrictif:
# sudo ufw par défaut nier entrant
Comme vous pouvez le voir, le pare-feu nous avertit de mettre à jour nos règles pour éviter les échecs lors de la connexion des clients à nous. La façon de faire de même avec les iptables pourrait être:
# iptables -a entrée -J Drop
Le refuser La règle sur UFW abandonnera la connexion sans information de l'autre côté, la connexion a été refusée, si vous voulez que l'autre côté sache que la connexion a été refusée, vous pouvez utiliser la règle "rejeter" plutôt.
# sudo ufw par défaut rejeter entrant
Une fois que vous avez bloqué tout le trafic entrant indépendamment de toute condition permet de commencer à définir des règles discriminantes pour accepter ce que nous voulons être acceptés spécifiquement, par exemple, si nous configurons un serveur Web et que vous souhaitez accepter toutes les pétitions à venir sur votre serveur Web, dans Port 80, Run:
# sudo ufw autorise 80
Vous pouvez spécifier un service à la fois par numéro de port ou nom, par exemple, vous pouvez utiliser le prot 80 comme ci-dessus ou le nom http:
De plus, à un service, vous pouvez également définir une source, par exemple, vous pouvez nier ou rejeter toutes les connexions entrantes à l'exception d'une IP source.
# sudo ufw autoriser à partir de
Règles iptables communes traduites en UFW:
Limiter Rate_limit avec UFW est assez facile, cela nous permet d'empêcher les abus en limitant le nombre que chaque hôte peut établir, avec UFW limitant le taux de SSH:
# Limite UFW sudo de tout port 22
# sudo ufw limite ssh / tcp
Pour voir comment UFW a facilité la tâche ci-dessous, vous avez une traduction de l'instruction UFW ci-dessus pour instruire la même chose:
# sudo iptables -a ufw-user-input -p tcp -m tcp --dport 22 -m Conntrack --ctstate new
-m récent --set --name par défaut - masque 255.255.255.0 - rsource
#sudo iptables -a ufw-user-int -p tcp -m tcp --dport 22 -m Conntrack --ctstate new
-m Récent - Update - secondes 30 - Hitcount 6 --name par défaut - masque 255.255.255.255
--rsource -j ufw-user-limit
# sudo iptables -a ufw-user-input -p tcp -m tcp --dport 22 -j ufw-user-limit-accept
Les règles écrites ci-dessus avec UFW seraient:
J'espère que vous avez trouvé ce tutoriel sur la configuration du pare-feu Debian les meilleures pratiques pour la sécurité utile.