web-dev-qa-db-fra.com

Comment configurer un pare-feu simple sur Ubuntu?

Quelqu'un pourrait-il donner quelques étapes simples avec l'exemple de configuration Comment configurer un pare-feu simple sur Ubuntu (à l'aide de la console uniquement)? Seuls les accès SSH, HTTP et HTTPS doivent être autorisés.

18
klew

Utilisez ce script.

Il suffit de décider si vous souhaitez autoriser entrant ICMP (Ping) ou non.

# Clear any existing firewall stuff before we start
iptables --flush
iptables -t nat --flush
iptables -t mangle --flush

# As the default policies, drop all incoming traffic but allow all
# outgoing traffic.  This will allow us to make outgoing connections
# from any port, but will only allow incoming connections on the ports
# specified below.
iptables --policy INPUT DROP
iptables --policy OUTPUT ACCEPT

# Allow all incoming traffic if it is coming from the local loopback device
iptables -A INPUT -i lo -j ACCEPT

# Accept all incoming traffic associated with an established
# connection, or a "related" connection
iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT

# Allow incoming connections
# SSH
iptables -A INPUT -p tcp -i eth0 --dport 22 -m state --state NEW -j ACCEPT
# HTTP
iptables -A INPUT -p tcp -i eth0 --dport 80 -m state --state NEW -j ACCEPT
# HTTPS
iptables -A INPUT -p tcp -i eth0 --dport 443 -m state --state NEW -j ACCEPT

# Allow icmp input so that people can ping us
iptables -A INPUT -p icmp -j ACCEPT

# Reject all other incoming packets
iptables -A INPUT -j REJECT
14
Mikeage

Comme indiqué dans les commentaires à une autre réponse, vous ne voulez pas perdre votre connexion avant d'autoriser le port SSH. De la page de l'homme:

"Gestion à distance

Lorsque vous exécutez UFW Activer ou démarrer UFW via son initscript, UFW rincera ses chaînes. Ceci est nécessaire pour que UFW puisse maintenir un état cohérent, mais il peut chuter les connexions existantes (par exemple, SSH). UFW prend en charge l'ajout de règles avant d'émettre le pare-feu, les administrateurs peuvent donc faire:

ufw allow proto tcp from any to any port 22

avant d'exécuter 'UFW Activer'. Les règles seront toujours rougées, mais le port SSH sera ouvert après avoir permis au pare-feu. Veuillez noter qu'une fois que UFW est "activé", UFW ne pliera pas les chaînes lors de l'ajout ou de la suppression de règles (mais une modification de la stratégie par défaut). ".

Voici donc une approche qui utilise un script pour la définir. Vous vous êtes déconnecté lorsque vous exécutez ce script, mais vous devez l'exécuter, vous pouvez ensuite vous connecter sur SSH.

Mettez ce qui suit dans un script et appelez-le start-firewall.sh

#!/bin/sh
ufw allow ssh
ufw enable
ufw default deny
ufw allow http
ufw allow https

Puis rendez-le exécutable et courez-le en faisant

$ chmod + x start-firewall.sh
$ Sudo ./start-firewall.sh

Pour en savoir plus, lisez la page Homme .

8
Hamish Downer

QuickTables m'a aidé à apprendre les règles IPTABLES. Il suffit d'exécuter le script et il générera un script iptables pour vous ... Ensuite, vous pouvez l'ouvrir et afficher les commandes associées générées par les questions qui vous ont demandé. C'est une grande ressource d'apprentissage.

Malheureusement, cela n'est plus maintenu.

http://qtables.radom.org/

1
JP Richardson

Je préférerais Shorewall . Il est facile à configurer mais flexible en même temps.

1
Artyom Sokolov

Peut-être devriez-vous jeter un coup d'œil à http://iptables-torial.frozentux.net/iptables-tatutorial.html . Aussi, vous pouvez trouver plus d'informations sur lartc.org

0
hyperboreean