Table des matières

Le pare-feu UFW

Ressources

Lien :

Les commandes présentées sont utilisables avec un compte qui n'est pas root mais qui dispose de la possibilité de faire une élévation de privilèges.

Installation de UFW

$ sudo apt update && sudo apt upgrade
$ sudo apt install ufw

Commandes de bases

$ sudo ufw list

Autoriser l'accès SSH

$ sudo ufw allow OpenSSH
$ sudo ufw enable

* Visualiser les paramètres actuels avec les numéros de règles

$ sudo ufw status numbered verbose
$ sudo ufw allow 443/tcp
$ sudo ufw delete allow 443/tcp
$ sudo ufw delete [numéro]

Utiliser le fichier de règles

Le comportement par défaut de UFW est de bloquer tout le trafic, de bloquer tout le trafic forwarding et d'autoriser totu le traffic sortant (outbound). Le principe est de ne permettre à personne de pouvoir se connecter sauf en spécifiant l'ouverture d'un port. PAr contre les applications et services en cours d'exécution peuvent accéder à Internet.

Les stratégies par défaut sont définies dans le fichier /etc/default/ufw et peuvent être changées en modifiant manuellement le fichier ou en ligne de commandes (commande sudo ufw default <policy> <chain>).

IP Masquerading

L'IP Masquerading est une variante du NAT (network address translation) dans le noyau Linux pour translater le trafic réseau en réécrivant the network la source et la destination des adresse IP et des ports résedaux. Grâce à l'IP Masquerading, des ordinateurs du réseau local privé peuvent communiquer avec Internet en utilisant l'OS Linux comme une passerelle.

net/ipv4/ip_forward=1
sysctl -p   
DEFAULT_FORWARD_POLICY="ACCEPT"
#NAT table rules
*nat
:POSTROUTING ACCEPT [0:0]
 
# Forward traffic through eth0 - Change to public network interface
-A POSTROUTING -s 10.8.0.0/16 -o eth0 -j MASQUERADE
 
# don't delete the 'COMMIT' line or these rules won't be processed
COMMIT

Redirection de port

#NAT table rules
*nat
:PREROUTING ACCEPT [0:0]
-A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 440
COMMIT
# service ufw restart