|
@@ -617,150 +617,6 @@ NTP synchronized: yes
|
|
|
|
|
|
Ça fonctionne.
|
|
|
|
|
|
-### Installation de **ufw**
|
|
|
-
|
|
|
-J'avais (ai) choisi **ufw**; je ne l'ai encore jamais utilisé, donc, c'est l'occasion! Finalement, pas un très bon plan, même si cela a l'air très facile en premier lieu ... je vais rester sur du **iptables** brut avec **_iptables-persistent_**.
|
|
|
-
|
|
|
-Son installation est détaillée dans le paragraphe ci-dessus.
|
|
|
-
|
|
|
-```shell
|
|
|
-root@atom:/home/ericadmin# apt install ufw
|
|
|
-Lecture des listes de paquets... Fait
|
|
|
-Construction de l'arbre des dépendances
|
|
|
-Lecture des informations d'état... Fait
|
|
|
-Les NOUVEAUX paquets suivants seront installés :
|
|
|
- ufw
|
|
|
-0 mis à jour, 1 nouvellement installés, 0 à enlever et 0 non mis à jour.
|
|
|
-Il est nécessaire de prendre 164 ko dans les archives.
|
|
|
-Après cette opération, 848 ko d'espace disque supplémentaires seront utilisés.
|
|
|
-Réception de:1 http://deb.debian.org/debian stretch/main i386 ufw all 0.35-4 [164 kB]
|
|
|
-164 ko réceptionnés en 0s (1 239 ko/s)
|
|
|
-Préconfiguration des paquets...
|
|
|
-Sélection du paquet ufw précédemment désélectionné.
|
|
|
-(Lecture de la base de données... 31776 fichiers et répertoires déjà installés.)
|
|
|
-Préparation du dépaquetage de .../archives/ufw_0.35-4_all.deb ...
|
|
|
-Dépaquetage de ufw (0.35-4) ...
|
|
|
-Paramétrage de ufw (0.35-4) ...
|
|
|
-
|
|
|
-Creating config file /etc/ufw/before.rules with new version
|
|
|
-
|
|
|
-Creating config file /etc/ufw/before6.rules with new version
|
|
|
-
|
|
|
-Creating config file /etc/ufw/after.rules with new version
|
|
|
-
|
|
|
-Creating config file /etc/ufw/after6.rules with new version
|
|
|
-Created symlink /etc/systemd/system/multi-user.target.wants/ufw.service → /lib/systemd/system/ufw.service.
|
|
|
-Traitement des actions différées (« triggers ») pour systemd (232-25+deb9u1) ...
|
|
|
-Traitement des actions différées (« triggers ») pour man-db (2.7.6.1-2) ...
|
|
|
-Traitement des actions différées (« triggers ») pour rsyslog (8.24.0-1) ...
|
|
|
-```
|
|
|
-
|
|
|
-### Configuration de **ufw**
|
|
|
-
|
|
|
-Après installation, le pare-feu est inactif.
|
|
|
-
|
|
|
-```shell
|
|
|
-root@atom:/home/ericadmin# ufw status
|
|
|
-Status: inactive
|
|
|
-root@atom:/home/ericadmin#
|
|
|
-```
|
|
|
-
|
|
|
-Nous allons autoriser les connexions **ssh** et **ntp**, seuls services en place pour l'instant.
|
|
|
-
|
|
|
-```shell
|
|
|
-root@atom:/home/ericadmin# ufw allow 22
|
|
|
-Rules updated
|
|
|
-Rules updated (v6)
|
|
|
-root@atom:/home/ericadmin#
|
|
|
-
|
|
|
-root@atom:/etc/fail2ban# ufw allow ntp
|
|
|
-Rule added
|
|
|
-Rule added (v6)
|
|
|
-```
|
|
|
-
|
|
|
-### Activation du pare-feu:
|
|
|
-
|
|
|
-```shell
|
|
|
-root@atom:/home/ericadmin# ufw enable
|
|
|
-Command may disrupt existing ssh connections. Proceed with operation (y|n)? y
|
|
|
-Firewall is active and enabled on system startup
|
|
|
-root@atom:/home/ericadmin#
|
|
|
-```
|
|
|
-
|
|
|
-### Vérification:
|
|
|
-
|
|
|
-```shell
|
|
|
-root@atom:/home/ericadmin# ufw status
|
|
|
-Status: active
|
|
|
-
|
|
|
-To Action From
|
|
|
--- -
|
|
|
-22 ALLOW Anywhere
|
|
|
-123 ALLOW Anywhere
|
|
|
-22 (v6) ALLOW Anywhere (v6)
|
|
|
-123 (v6) ALLOW Anywhere (v6)
|
|
|
-
|
|
|
-root@atom:/home/ericadmin#
|
|
|
-```
|
|
|
-
|
|
|
-Les connexions **ssh** et **ntp** sont autorisées, en **IPV4** et **IPV6**.
|
|
|
-
|
|
|
-Nous ajouterons des règles en fonction des services utilisés.
|
|
|
-
|
|
|
-### Pour désactiver le pare-feu:
|
|
|
-
|
|
|
-```shell
|
|
|
-ufw disable
|
|
|
-```
|
|
|
-
|
|
|
-### Activation du logging des actions de **ufw**
|
|
|
-
|
|
|
-```shell
|
|
|
-root@atom:/home/ericadmin# ufw logging on
|
|
|
-Logging enabled
|
|
|
-root@atom:/home/ericadmin#
|
|
|
-```
|
|
|
-
|
|
|
-Vous pouvez voir l'ensemble des commandes de **ufw** en tapant:
|
|
|
-
|
|
|
-```shell
|
|
|
-root@atom:/home/ericadmin# ufw --help
|
|
|
-
|
|
|
-Usage: ufw COMMAND
|
|
|
-
|
|
|
-Commands:
|
|
|
- enable enables the firewall
|
|
|
- disable disables the firewall
|
|
|
- default ARG set default policy
|
|
|
- logging LEVEL set logging to LEVEL
|
|
|
- allow ARGS add allow rule
|
|
|
- deny ARGS add deny rule
|
|
|
- reject ARGS add reject rule
|
|
|
- limit ARGS add limit rule
|
|
|
- delete RULE|NUM delete RULE
|
|
|
- insert NUM RULE insert RULE at NUM
|
|
|
- route RULE add route RULE
|
|
|
- route delete RULE|NUM delete route RULE
|
|
|
- route insert NUM RULE insert route RULE at NUM
|
|
|
- reload reload firewall
|
|
|
- reset reset firewall
|
|
|
- status show firewall status
|
|
|
- status numbered show firewall status as numbered list of RULES
|
|
|
- status verbose show verbose firewall status
|
|
|
- show ARG show firewall report
|
|
|
- version display version information
|
|
|
-
|
|
|
-Application profile commands:
|
|
|
- app list list application profiles
|
|
|
- app info PROFILE show information on PROFILE
|
|
|
- app update PROFILE update PROFILE
|
|
|
- app default ARG set default application policy
|
|
|
-
|
|
|
-root@atom:/home/ericadmin#
|
|
|
-```
|
|
|
-
|
|
|
-
|
|
|
-
|
|
|
Il faut re-tester la connectivité en IPV4 et IPV6
|
|
|
|
|
|
1. Serveur -> extérieur
|