Comment configurer son pare-feu réseau ?

  • 29 novembre 2023

Bon, au tout début de ma Debian, j'utilisais IPTables, puis NFTables. Qui maintenant est déprécié pour IPTables, NFTables est son évolution. Mais, je vous mets les liens de mes sources d'inspiration, cela peut toujours servir pour X raisons.


IPTables 1 & 2


NFTables 1 & 2


Je suis passé de NFTables à UFW, lorsque je n'arrivais plus à bloquer le ping vers mon pc. Qui plus est, UFW est plus simple & intutif à gérer.


UFW 1 & 2


UFW bloquer ping 1 & 2


De base, il est possible sur votre Debian d'avoir le dossier "UFW" existant dans "/etc", mais ce dernier n'est pas installé. Commençons par son installation :


apt-get install ufw

Avant toutes choses, au besoin voir la conf "cat" et la sauvegarder si besoin "cp".


Ici, je demande au pare-feu pour toutes les entrées par défauts de bloquer et d'autoriser en sortie :


ufw default deny incoming
ufw default allow outgoing

Voir la conf par defaut :


grep -i '^default_' /etc/default/ufw

Avant d'activer le pare-feu (ufw enable), je conseille de mettre toutes les règles souhaitées. Sinon, cela peut avoir des effets de bord. L'on croit que cela ne fonctionne pas, alors que si, il manque juste un redémarrage de la session ou du PC.


Bloquer ICMP :


nano /etc/ufw/before.rules

Vue Linux

Au-dessus, nous allons dans les règles IPv4 et je passe les règles d'"ACCEPT" à "DROP". Pour IPv6 c'est "before6", pour ma part, je n'y touche car je ne l'autorise pas sur mes cartes (problème de vie privée sur les IPv6 local, surtout lorsque vous n'êtes pas chez vous).


Pour ajouter une règle, comme par exemple autoriser la connexion téléphone à Kde Connect : (c'est UDP et non TCP)


ufw allow 1714:1764/udp

Vérifier la prise en compte des règles (ne fonctionne que s'il y a des règles, bien sûr) :


ufw status verbose

Pour tester, si je souhaite bloquer le fait d'aller surfer :


ufw deny out https

Bien sûr, il faut refuser https (et http par la suite) en sortie également.


Voir le numéro d'une règle pour la supprimer :


ufw status numbered
ufw delete 2

Au-desssus nous supprimons la règle n°2


Activer le pare-feu :


ufw enable

À chaque changement de règles, relancer le pare-feu :


ufw reload

Vérifier son bon fonctionnement :


systemctl status ufw.service

Reset toutes mes regles et celles changées dans le fichier de conf (before.rules) :


ufw reset