Commandes UFW pour Ubuntu: Firewall Configuration, règles, IPv4IPv6, Bonnes pratiques

Introduction

Ce guide explique comment configurer et gérer UFW (Uncomplicated Firewall) Sur Ubuntu Vous apprendrez à activer le pare-feu, à créer et supprimer des règles, à gérer les profils de service et à sécuriser les serveurs. Vous apprendrez également à activer le pare-feu, à créer et supprimer des règles, à gérer les profils de service et à sécuriser les deux types de serveurs. IPv4 et le trafic réseau IPv6.

Vérification de l'UFW Firewall Statut sur Ubuntu

Pour vérifier si le pare-feu est actif :

Si vous voyez Statut : inactif, cela signifie que le pare-feu est actuellement désactivé.

Activation de l'UFW

Pour activer UFW :

Pour voir la liste des règles en vigueur :

Désactivation d'UFW

Pour désactiver temporairement le pare-feu :

À noter: Cela désactive complètement votre pare-feu ; utilisez-le avec prudence !

Blocage des adresses IP et des sous-réseaux

• Bloquer une IP spécifique :

• Bloquer un sous-réseau entier :

• Bloquer une IP sur une interface spécifique :

Autoriser les adresses IP

• Autoriser tout le trafic provenant d'une IP spécifique :

• Autoriser le trafic entrant depuis une IP sur une interface spécifique :

Suppression de règles

• Supprimer une règle par ses paramètres :

• Supprimer une règle par numéro :

Profils d'application

UFW peut utiliser des profils prédéfinis pour les services courants :

• Liste des profils disponibles :

• Activer un profil (par exemple OuvrirSSH):

• Supprimer un profil :

Ouverture des ports communs

• SSH (port 22) :

• HTTP (port 80) :

• HTTPS (port 443) :

• HTTP + HTTPS combiné :

Autoriser les connexions à la base de données

• MySQL (port 3306) :

• PostgreSQL (port 5432) :

• Autoriser un sous-réseau :

FAQ : UFW (Simple) Firewall) Sur Ubuntu

• Q1 : Quel est l'ordre le plus sûr pour activer UFW sur un serveur distant ?
  A: Définir les valeurs par défaut → autoriser SSH → activer.
  sudo ufw default deny incoming
  sudo ufw default allow outgoing
  sudo ufw allow OpenSSH
  sudo ufw enable

   

• Q2 : Comment puis-je vérifier ce qui est actuellement autorisé ?
  A:
  sudo ufw status verbose

  Ou avec une numérotation :

  sudo ufw status numbered

   

• Q3 : Que se passe-t-il si je bloque ? SSH et accès perdu ?
  A : Utilisez la console de votre fournisseur d'hébergement (KVM(/serial/web console), puis exécutez :
  sudo ufw allow OpenSSH

  Ou désactivez temporairement UFW :

  sudo ufw disable

   

• Q4 : Puis-je limiter le débit ? SSH au lieu de simplement le permettre ?
  A : Oui, il s'agit d'une étape de durcissement courante :
  sudo ufw limit OpenSSH

  (ou sudo ufw limit 22/tcp)

   

• Q5 : Comment autoriser plusieurs ports proprement ?
  A:
  sudo ufw allow 80,443/tcp

  Ou des plages :

  sudo ufw allow 60000:61000/udp

   

• Q6 : Comment faire pour que UFW s’applique également à IPv6 ?
  A : Dans /etc/default/ufw, définissez :
  IPV6 = oui
  Rechargez ensuite :
  sudo ufw reload

   

• Q7 : Pourquoi exposer MySQL/PostgreSQL « N’importe quel » est une mauvaise idée ?
  A : Les bases de données sont des cibles de grande valeur. N'autorisez leur accès qu'à partir d'adresses IP/sous-réseaux de confiance (ou de réseaux privés).VPN). Exemple:
  sudo ufw allow from 91.198.174.33 to any port 5432 proto tcp

   

• Q8 : Comment puis-je supprimer rapidement la mauvaise règle ?
  A:
  sudo ufw status numbered
  sudo ufw delete <rule_number>

   

• Q9 : Comment activer les journaux UFW ?
  A:
  sudo ufw logging on

  Pour afficher le niveau de journalisation :

  sudo ufw status verbose

Meilleures pratiques de l'UFW pour Ubuntu Serveurs

meilleures pratiques de l'UFW pour Ubuntu les serveurs:

• Autoriser SSH avant d'activer UFW (il est préférable de limiter plutôt que d'autoriser afin de réduire les tentatives d'attaque par force brute).
• Définissez une base de sécurité : bloquez les connexions entrantes par défaut, autorisez les connexions sortantes, puis n’ouvrez que celles dont vous avez besoin.
• Ne jamais exposer les bases de données à Internet — autoriser MySQL/PostgreSQL uniquement depuis des adresses IP de confiance ou des réseaux privés.
• Activez la journalisation et auditez périodiquement les règles afin de supprimer les exceptions obsolètes.
• Si vous utilisez IPv6, assurez-vous qu'il est activé dans UFW (IPV6=oui) afin que les règles protègent les deux piles.
• Utilisez une console de fournisseur (KVM/serial) comme solution de repli au cas où vous vous verrouillez l'accès.

Conclusion

UFW est une méthode simple et fiable pour durcir un Ubuntu Ce guide vous permet de contrôler le trafic entrant et sortant de votre serveur sans modifier directement les règles iptables. Vous y découvrirez comment installer UFW, vérifier son état et l'activer en toute sécurité, sans perte de données. SSH J'ai appris à accéder à ces informations et à autoriser ou bloquer les ports, les adresses IP, les sous-réseaux et les profils de service.
Pour une configuration sécurisée, commencez par une politique par défaut restrictive, n'exposez que les services requis (SSH/HTTP/HTTPS), limitez l'accès aux ports sensibles comme les bases de données et examinez régulièrement les règles et les journaux, surtout si votre serveur utilise les deux. IPv4 et IPv6.