Travailler avec Debian Firewalls

Le pare-feu simple (UFW) est un frontage pour iptables, le logiciel que nous utilisons couramment pour gérer NetFilter qui est une fonction de filtrage incluse dans le noyau Linux. Étant donné que la gestion des iptables requiert des connaissances du milieu à l'administration du réseau avancées, les connaissances frontales ont été développées pour faciliter la tâche, le pare-feu simple est l'un d'eux et sera expliqué dans ce tutoriel.

Note: Pour ce tutoriel, l'interface réseau ENP2S0 et l'adresse IP 192.168.0.2/7 ont été utilisés comme exemple, remplacez-les pour les bons.

Installation d'UFW:

Pour installer UFW sur Debian Run:

APT INSTALLATION UFW

Pour activer UFW Run:

UFW Activer

Pour désactiver UFW Run:

UFW Désactiver

Si vous souhaitez effectuer une vérification rapide de votre course de statut de pare-feu:

Statut UFW

Où:

Statut: informe si le pare-feu est actif.
Pour: montre le port ou le service
Action: montre la politique
Depuis: montre les sources de trafic possibles.

Nous pouvons également vérifier le statut de pare-feu par verbosité en fonctionnant:

Statut UFW Verbose

Cette deuxième commande pour voir le statut de pare-feu affichera également les politiques par défaut et la direction du trafic.

De plus, sur des écrans informatifs avec «statut UFW» ou «statut UFW Verbose», nous pouvons imprimer toutes les règles numérotées si cela aide à les gérer comme vous le verrez plus loin. Pour obtenir une liste numérotée de vos règles de pare-feu:

État UFW numéroté

À tout stade, nous pouvons réinitialiser les paramètres UFW à la configuration par défaut en exécutant:

réinitialisation UFW

Lors de la réinitialisation des règles UFW, elle demandera la confirmation. Presse Y confirmer.

Brève introduction aux politiques de pare-feu:

Avec chaque pare-feu, nous pouvons déterminer une stratégie par défaut, les réseaux sensibles peuvent appliquer une politique restrictive, ce qui signifie refuser ou bloquer tout le trafic, sauf le spécialement autorisé. Contrairement à une politique restrictive, un pare-feu permissif acceptera tout le trafic, sauf le spécifiquement bloqué.

Par exemple, si nous avons un serveur Web et que nous ne voulons pas que ce serveur serve plus qu'un simple site Web, nous pouvons appliquer une politique restrictive bloquant tous les ports à l'exception des ports 80 (HTTP) et 443 (HTTPS), ce serait une politique restrictive Parce que par défaut, tous les ports sont bloqués à moins que vous en débloquiez un spécifique. Un exemple de pare-feu permissif serait un serveur non protégé dans lequel nous bloquons uniquement le port de connexion, par exemple, 443 et 22 pour les serveurs Plesk comme les ports bloqués. De plus, nous pouvons utiliser UFW pour autoriser ou refuser le transfert.

Appliquer des politiques restrictives et permissives avec UFW:

Afin de restreindre tout le trafic entrant par défaut en utilisant UFW Run:

UFW par défaut nier entrant

Pour faire le contraire, permettant à tout le trafic entrant:

La valeur par défaut UFW permette

Pour bloquer tout le trafic sortant de notre réseau, la syntaxe est similaire, pour le faire:

Pour permettre à tout le trafic sortant, nous remplaçons simplement «refuser" pour "permettre», Pour permettre le trafic sortant à exécuter sans condition:

Nous pouvons également autoriser ou refuser le trafic pour des interfaces de réseau spécifiques, en conservant différentes règles pour chaque interface, pour bloquer tout le trafic entrant de ma carte Ethernet que je fonctionnerais:

UFW nie sur ENP2S0

Où:

ufw= appelle le programme
refuser= définit la politique
dans= trafic entrant
ENP2S0= mon interface Ethernet

Maintenant, j'appliquerai une politique restrictive par défaut pour le trafic entrant, puis n'autoriserai que les ports 80 et 22:

UFW par défaut nier entrant
UFW Autorisez 22
UFW autorise HTTP

Où:
La première commande bloque tout le trafic entrant, tandis que le second permet des connexions entrantes au port 22 et la troisième commande autorise les connexions entrantes au port 80. Noter que UFW nous permet d'appeler le service par son port ou son nom de service par défaut. Nous pouvons accepter ou refuser les connexions au port 22 ou SSH, port 80 ou HTTP.

La commande "Statut UFW verbeux«Affichera le résultat:

Tout le trafic entrant est refusé tandis que les deux services (22 et HTTP) que nous avons autorisés sont disponibles.

Si nous voulons supprimer une règle spécifique, nous pouvons le faire avec le paramètre "supprimer". Pour supprimer notre dernière règle, permettant le trafic entrant vers le port HTTP:

UFW Supprimer Autoriser HTTP

Vérifions si les services HTTP se poursuivent disponibles ou bloqués en fonctionnant Statut UFW Verbose:

Le port 80 n'apparaît plus comme une exception, étant le port 22 le seul.

Vous pouvez également supprimer une règle en invoquant simplement son identifiant numérique fourni par la commande "État UFW numéroté"Mentionné précédemment, dans ce cas, je supprimerai le REFUSER Politique sur le trafic entrant vers la carte Ethernet ENP2S0:

UFW Supprimer 1

Il demandera une confirmation et procédera si elle est confirmée.

En plus de REFUSER Nous pouvons utiliser le paramètre REJETER qui informera l'autre côté la connexion a été refusée, pour REJETER Connexions avec SSH Nous pouvons courir:

UFW rejeter 22

Ensuite, si quelqu'un essaie d'accéder à notre port 22, il sera informé que la connexion a été refusée comme dans l'image ci-dessous.

À tout stade, nous pouvons vérifier les règles ajoutées sur la configuration par défaut en exécutant:

émission UFW ajoutée

Nous pouvons nier toutes les connexions tout en autorisant des adresses IP spécifiques, dans l'exemple suivant, je rejetterai toutes les connexions au port 22, à l'exception de l'IP 192.168.0.2 qui sera le seul à se connecter:

UFW nie 22
UFW autorise à partir de 192.168.0.2

Maintenant, si nous vérifions l'état UFW

Nous pouvons limiter les tentatives de connexion pour empêcher les attaques de force brute en fixant une limite de fonctionnement:
UFW limite SSH

Pour terminer ce tutoriel et apprendre à apprécier la générosité de l'UFW, rappelons-nous la façon dont nous pourrions nier tout le trafic, à l'exception d'une seule propriété intellectuelle en utilisant des iptables:

iptables -a entrée -s 192.168.0.2 -J accepter
iptables -a sortie -d 192.168.0.2 -J accepter
Iptables -p Drop d'entrée
Iptables -p Drop de sortie

Le même peut être fait avec seulement 3 lignes plus courtes et les plus simples à l'aide de UFW:

UFW par défaut nier entrant
UFW par défaut nier sortant
UFW autorise à partir de 192.168.0.2

J'espère que vous avez trouvé cette introduction à UFW utile. Avant toute enquête sur l'UFW ou toute question liée à Linux, n'hésitez pas à nous contacter via notre canal d'assistance sur https: // support.linuxhint.com.

Articles Liés

Iptables pour les débutants
Configurer les identifiants de snort et créer des règles