Gérer les pare-feu avec le module UFW ANSIBLE

Célia Girard
Gérer les pare-feu avec le module UFW ANSIBLE
La cybersécurité est l'une des préoccupations les plus cruciales de notre temps. À mesure que la technologie progresse, les logiciels malveillants, les virus et toutes sortes de hacks. Heureusement, nous avons des logiciels antivirus et des pare-feu pour nous protéger contre ces menaces.

Un pare-feu est responsable de la surveillance du trafic entrant et sortant via un réseau. Le processus de surveillance est paramétré par les exigences de sécurité du système que le pare-feu est censé défendre.

ANIBLE a un module appelé module UFW qui permet aux utilisateurs de gérer les pare-feu sur les hôtes distants. Découvrons ce qu'est ce module et comment il fonctionne!

Quel est le module UFW?

Avant d'arriver au module UFW, nous devons d'abord vérifier ce que UFW est en premier lieu. UFW signifie un pare-feu simple - une application facile à utiliser conçue pour rendre la gestion du pare-feu facile sur les systèmes Linux. Il vient préinstallé dans toutes les versions Ubuntu après 8.04 LTS.

La bonne chose à propos de l'UFW est qu'il fournit un frontage intuitif que n'importe qui peut apprendre à utiliser rapidement. Il s'agit d'un programme basé sur la CLI (interface de ligne de commande), cependant, il existe également des versions GUI disponibles. L'UFW fonctionne particulièrement bien avec les pare-feu d'hôte, ce qui explique peut-être pourquoi il y a un soutien dans ANSIBLE.

ANIBLE a un module UFW appartenant au communauté.collection générale, ce qui signifie qu'il n'est pas inclus dans au-noyau. Cependant, si vous avez installé le package ANSIBLE, vous l'avez très probablement déjà. Au cas où vous ne le faites pas, reportez-vous à la section suivante pour les instructions d'installation.

Installation du module UFW

Vous pouvez vérifier si le module UFW est inclus ou non dans votre installation Ansible en exécutant la commande ci-dessous.

$ anible-doc -l

Vérifiez la sortie. Si vous n'avez pas le module UFW, exécutez la commande ci-dessous pour l'installer.

$ ANSIBLE-GALAXY Collection Installer Communauté.général

Avec cela, nous sommes tous sur la même page concernant l'installation du module UFW. Passons dans la façon dont vous pouvez l'utiliser!

Utilisation du module UFW

Voici quelques paramètres importants que chaque utilisateur doit connaître avant d'utiliser le module UFW.

  • Par défaut ou politique - prend ou refuser ou rejeter et modifier la politique de sécurité actuelle du trafic réseau.
  • supprimer - prend non (par défaut) ou oui. Supprime une règle.
  • Direction - Définit la direction d'une règle I.e., dans, entrant, sorti, sortant ou routé.
  • From_ip, From_port - Renvoie respectivement l'adresse IP source et le port.
  • INSERT - Ajoute une règle identifiée par son numéro de règle ou Num. (Les numéros commencent à partir de 1 dans UFW)
  • Interface - Spécifie l'interface (entraînée par le paramètre de direction) pour la règle du sujet.
  • journal - prend non (par défaut) ou oui. Activer la connexion et l'éteinte pour les nouvelles connexions établies à la règle.
  • journalisation - modifie les paramètres de journalisation des paquets en fonction de sur, hors, bas, moyen, haut ou complet.
  • route - prend non (par défaut) ou oui. Applique la règle spécifiée aux paquets transmis / routés.
  • Règle - Ajouter une nouvelle règle de pare-feu. Prend les mêmes arguments que le paramètre par défaut.
  • État - Prend pour recharger et exécuter le pare-feu lors du démarrage, désactivé pour décharger et désactiver le pare-feu sur le démarrage, réinitialiser pour désactiver le pare-feu et appliquer les paramètres par défaut, recharger pour recharger le pare-feu.
  • to_ip, to_port - renvoie respectivement l'adresse IP et le port de destination.

Une fois que vous avez maîtrisé les tenants et aboutissants de ces paramètres, vous êtes en bonne voie pour devenir un expert de l'UFW. Si vous souhaitez en savoir plus, visitez la documentation du module UFW ANSIBLE. Cela dit, passons à quelques exemples qui démontrent l'utilisation de ce module.

Exemple 1: Activer UFW

Dans ce premier exemple, vous apprendrez à activer UFW tout en autorisant tout le trafic. Cela peut être fait avec le morceau de code suivant.

- Nom: activer UFW, permettant à tout le trafic
communauté.général.UFW:
État: activé
Politique: autoriser
- Nom: Set Logging
communauté.général.UFW:
en connectant'

Maintenant, exécutez ce playbook à l'aide de la commande suivante dans le terminal Linux:

ANSIBLE-PLAYBOOK TESTBOOK.YML

Comme vous pouvez le voir, nous avons utilisé le État paramètre et le régler sur activé - allumer le pare-feu. Ensuite, notre stratégie ou paramètre par défaut permet tout. Enfin, nous avons allumé la journalisation.

Exemple 2: rejet du trafic

Les connexions d'un expéditeur peuvent être rejetées de plusieurs manières, en utilisant refuser et rejeter. Cependant, utiliser Deny n'informe pas l'expéditeur qu'ils ont été refusés. Dans de nombreux cas, vous souhaiterez peut-être informer les utilisateurs que leurs connexions sont refusées. Dans un tel cas, utilisez l'argument de rejet.

- communauté.général.UFW:
Règle: rejeter
Port: Auth
Journal: oui

Nous enregistrons également les connexions rejetées en définissant le journal sur oui.

Exemple 3: refuser et permettre l'accès à un port spécifique

Dans cet exemple, nous allons expliquer comment vous pouvez refuser l'accès à un certain port. Cela peut être réalisé en définissant simplement la règle comme nier et passer le numéro du port que vous souhaitez.

- Nom: refuser l'accès au port 35
communauté.général.UFW:
Règle: nier
Port: '35'

Nous pouvons également changer un peu les choses en permettant également à tout accès à un port TCP. Voici comment cela serait fait.

- Nom: permettant à tout accès au port 53
communauté.général.UFW:
Règle: autoriser
Port: '53'
Proto: TCP

Ici, le paramètre Proto est passé TCP, en définissant simplement le protocole. D'autres valeurs d'argument possibles incluent UDP, ipv6, en particulier, ah, n'importe quel, et plus.

Ces techniques sont également applicables à une gamme de ports. Disons que vous souhaitez autoriser ou refuser l'accès à un large éventail de ports, mais vous devez spécifier une règle pour chaque port un par un. Pas nécessairement. En fait, vous pouvez passer toute une gamme de ports qui ont besoin de la même règle. Voici un exemple de la façon dont cela fonctionnerait.

- Nom: Autoriser la gamme de port 60000-61000
communauté.général.UFW:
Règle: autoriser
Port: 60000: 61000
Proto: TCP

Tous les ports entre 60000 et 61000 seront autorisés à accéder complet.

Conclusion

Dans ce guide, nous avons exploré le module UFW ANSIBLE. Il nous permet de gérer efficacement les pare-feu sur les hôtes éloignés. Nous avons également examiné quelques exemples où nous avons démontré comment autoriser ou refuser l'accès, gérer les ports, et plus. J'espère que cela a été une lecture informative pour vous!

html
Comment créer des puces HTML?
Pour créer des puces HTML, les utilisateurs peuvent utiliser les listes commandées et non ordonnées ...
Pauline Giraud
Powershell
Comment utiliser la commande set-variable dans PowerShell
Le coffre-fort «set-variable» définit ou modifie la valeur d'une variable existante. De plus, si la ...
Jules Colin
c Sharp
Comment utiliser le polymorphisme en C #
Le polymorphisme permet de traiter des objets de classes distinctes comme ils provenaient de la même...
Lena Martinez
Python
Python Math Exp
Mohamed Benoit
c Sharp
Qu'est-ce que le système.Espace de noms IO en C #
Julien Dumas
Sqlite
Comment utiliser l'application Web SQLite Viewer
Jules Colin
Commandes Linux
Comment installer la version de Cuda sur Linux
Julien Dumas
html
Comment utiliser la propriété CSS Flex-Grow?
Julien Dumas
php
Comment utiliser des expressions régulières en php
Zoe Martinez
php
Qu'est-ce qu'une erreur d'index non définie en PHP et comment le réparer?
Lena Martinez
AWS
Qu'est-ce que le haricot élastique? Est-ce PaaS ou Iaas?
Lola Bonnet
php
Comment utiliser la fonction de rayons de bandes en php
Zoe Martinez
Javascrip
La façon dont la type dactylographie est différente de JavaScript?
Gabriel Bernard