Ci-dessous, les différences entre deux révisions de la page.
Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente | ||
reseau:ufw:accueil [2021/02/08 15:59] techer.charles_educ-valadon-limoges.fr |
reseau:ufw:accueil [2021/03/03 12:00] (Version actuelle) techer.charles_educ-valadon-limoges.fr |
||
---|---|---|---|
Ligne 4: | Ligne 4: | ||
* https:// | * https:// | ||
* https:// | * https:// | ||
+ | * https:// | ||
+ | * https:// | ||
+ | |||
+ | <WRAP center round info> | ||
+ | Les commandes présentées sont utilisables avec un **compte qui n'est pas root** mais qui dispose de la possibilité de faire une **élévation de privilèges**. | ||
+ | |||
+ | </ | ||
+ | ===== Installation de UFW===== | ||
+ | * Avant toute installation de nouveaux paquets logiciels, n' | ||
+ | <code shell> | ||
+ | $ sudo apt update && sudo apt upgrade | ||
+ | </ | ||
+ | |||
+ | * installation de UFW | ||
+ | <code shell> | ||
+ | $ sudo apt install ufw | ||
+ | </ | ||
===== Commandes de bases ===== | ===== Commandes de bases ===== | ||
Ligne 17: | Ligne 34: | ||
$ sudo ufw allow OpenSSH | $ sudo ufw allow OpenSSH | ||
</ | </ | ||
+ | </ | ||
* Activer ufw | * Activer ufw | ||
<code shell> | <code shell> | ||
$ sudo ufw enable | $ sudo ufw enable | ||
+ | </ | ||
+ | * Visualiser les paramètres actuels avec les numéros de règles | ||
+ | <code shell> | ||
+ | $ sudo ufw status numbered verbose | ||
</ | </ | ||
- | </WRAP> | + | * autoriser une connexion entrante |
+ | <code shell> | ||
+ | $ sudo ufw allow 443/tcp | ||
+ | </ | ||
+ | * supprimer une règle | ||
+ | <code shell> | ||
+ | $ sudo ufw delete allow 443/tcp | ||
+ | </ | ||
+ | * supprimer une règle par son numéro | ||
+ | <code shell> | ||
+ | $ sudo ufw delete [numéro] | ||
+ | </code> | ||
+ | ===== Utiliser le fichier de règles ===== | ||
+ | Le comportement par défaut de UFW est de bloquer tout le trafic, de bloquer tout le trafic forwarding et d' | ||
+ | Le principe est de ne permettre à personne de pouvoir se connecter sauf en spécifiant l' | ||
+ | |||
+ | Les stratégies par défaut sont définies dans le fichier **/ | ||
+ | |||
+ | ===== IP Masquerading ===== | ||
+ | L'IP Masquerading est une variante du NAT (network address translation) dans le noyau Linux pour translater le trafic réseau en réécrivant the network la source et la destination des adresse IP et des ports résedaux. Grâce à l'IP Masquerading, | ||
+ | * activer le routage en modifiant / | ||
+ | <code shell> | ||
+ | net/ | ||
+ | </ | ||
+ | * activer la modification | ||
+ | <code shell> | ||
+ | sysctl -p | ||
+ | </ | ||
+ | * activer le forwarding en modifiant le fichier / | ||
+ | <code shell> | ||
+ | DEFAULT_FORWARD_POLICY=" | ||
+ | </ | ||
+ | * modifier le fichier / | ||
+ | <code shell> | ||
+ | #NAT table rules | ||
+ | *nat | ||
+ | : | ||
+ | |||
+ | # Forward traffic through eth0 - Change to public network interface | ||
+ | -A POSTROUTING -s 10.8.0.0/16 -o eth0 -j MASQUERADE | ||
+ | |||
+ | # don't delete the ' | ||
+ | COMMIT | ||
+ | </ | ||
+ | |||
+ | ===== Redirection de port ===== | ||
+ | * autoriser le port | ||
+ | * modifier le fichier / | ||
+ | <code shell> | ||
+ | #NAT table rules | ||
+ | *nat | ||
+ | :PREROUTING ACCEPT [0:0] | ||
+ | -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 440 | ||
+ | COMMIT | ||
+ | </ | ||
+ | * redémarrer le service | ||
+ | <code shell> | ||
+ | # service ufw restart | ||
+ | </ |