« Ufw » : différence entre les versions

De Banane Atomic
Aller à la navigationAller à la recherche
Aucun résumé des modifications
Ligne 5 : Ligne 5 :
* [https://wiki.archlinux.org/index.php/Uncomplicated_Firewall Archlinux]
* [https://wiki.archlinux.org/index.php/Uncomplicated_Firewall Archlinux]


= Configuration =
= [https://www.digitalocean.com/community/tutorials/ufw-essentials-common-firewall-rules-and-commands Configuration] =
{{warn | Once a rule is matched the others will not be evaluated so you must put the specific rules first.}}
{{warn | Once a rule is matched the others will not be evaluated so you must put the specific rules first.}}
<kode lang='bash'>
<kode lang='bash'>
Ligne 40 : Ligne 40 :
ufw limit ssh
ufw limit ssh
</kode>
</kode>
* [https://www.digitalocean.com/community/tutorials/ufw-essentials-common-firewall-rules-and-commands UFW Essentials: Common Firewall Rules and Commands]


= Applications =
= Applications =

Version du 8 janvier 2020 à 22:00

Liens

Configuration

Once a rule is matched the others will not be evaluated so you must put the specific rules first.
Bash.svg
# lister les règles
ufw status verbose

# lister les commandes qui ont permis d'ajouter des règles
ufw show added

# autoriser les connections tcp sur le port 53
ufw allow 53/tcp comment 'DNS tcp 53'

# autoriser une ip à accéder au port 22 en tcp quelle que soit la destination (any)
ufw allow from 192.168.0.1 to any port 22 proto tcp

# supprimer le règle qui autorise les connections tcp sur le port 53
ufw deny 53/tcp

# lister les régles avec leur numéro
ufw status numbered

# supprimer la règle numéro 2
ufw delete 2

# insérer une règle en position 1
ufw insert 1 allow 53/tcp

# interdire les connections udp sur le port 53
ufw deny 53/udp

# allow any protocol from inside 192.168.0.0/24 LAN
ufw allow from 192.168.0.0/24
# allow incoming rate limited SSH traffic from anywhere
ufw limit ssh

Applications

Bash.svg
# lister les configurations pour les applications (/etc/ufw/applications.d/*)
ufw app list

# appliquer la configuration d'une application
ufw allow MyApp comment 'tcp xx'

# ne plus appliquer la configuration d'une application
ufw delete allow MyApp

Applications custom

/etc/ufw/applications.d/dnsmasq
[DNS]
title=DNS server
description=DNS server
ports=53

[DHCP]
title=DHCP server
description=DHCP server
ports=67,68/udp
/etc/ufw/applications.d/openvpn
[VPN]
title=VPN server
description=VPN server
ports=1194/udp
/etc/ufw/applications.d/transmission
[Torrent]
title=Torrent server
description=Torrent server
ports=9091,51413/tcp
/etc/ufw/applications.d/amule
[Amule]
title=Amule server
description=Amule server
ports=4662,4711,4712/tcp|4665,4672/udp

Démarrage / status

Ne pas oublier d'ouvrir le port SSH avant de démarrer UFW.
Bash.svg
# démarre/stoppe ufw et l'ajoute/le retire des programmes à lancer au démarrage
ufw enable
ufw disable

# démarre ufw
ufw reload

# lister les régles
ufw status verbose

ufw doesn't start at startup

/lib/systemd/system/ufw.service
#Before=network.target
After=network-pre.target  # doesn't work
After=netfilter-persistent.service  # doesn't work

default rules

/etc/ufw/user.rules
*filter
:ufw-user-input - [0:0]
:ufw-user-output - [0:0]
:ufw-user-forward - [0:0]
:ufw-before-logging-input - [0:0]
:ufw-before-logging-output - [0:0]
:ufw-before-logging-forward - [0:0]
:ufw-user-logging-input - [0:0]
:ufw-user-logging-output - [0:0]
:ufw-user-logging-forward - [0:0]
:ufw-after-logging-input - [0:0]
:ufw-after-logging-output - [0:0]
:ufw-after-logging-forward - [0:0]
:ufw-logging-deny - [0:0]
:ufw-logging-allow - [0:0]
:ufw-user-limit - [0:0]
:ufw-user-limit-accept - [0:0]
### RULES ###

### tuple ### allow tcp 22 0.0.0.0/0 any 0.0.0.0/0 in
-A ufw-user-input -p tcp --dport 22 -j ACCEPT

### END RULES ###

### LOGGING ###
-A ufw-after-logging-input -j LOG --log-prefix "[UFW BLOCK] " -m limit --limit 3/min --limit-burst 10
-A ufw-after-logging-forward -j LOG --log-prefix "[UFW BLOCK] " -m limit --limit 3/min --limit-burst 10
-I ufw-logging-deny -m conntrack --ctstate INVALID -j RETURN -m limit --limit 3/min --limit-burst 10
-A ufw-logging-deny -j LOG --log-prefix "[UFW BLOCK] " -m limit --limit 3/min --limit-burst 10
-A ufw-logging-allow -j LOG --log-prefix "[UFW ALLOW] " -m limit --limit 3/min --limit-burst 10
### END LOGGING ###

### RATE LIMITING ###
-A ufw-user-limit -m limit --limit 3/minute -j LOG --log-prefix "[UFW LIMIT BLOCK] "
-A ufw-user-limit -j REJECT
-A ufw-user-limit-accept -j ACCEPT
### END RATE LIMITING ###
COMMIT

Commandes

Bash.svg
# liste des règles
sudo ufw status verbose

# redémarrer le firewall
sudo service ufw restart
sudo ufw reload

Règles

/etc/ufw/before.rules
-A ufw-before-input -p 2 -d 224.0.0.1 -j ACCEPT
/etc/ufw/before6.rules
# règle pour autoriser le multicast
-A ufw6-before-input -p icmpv6 --icmpv6-type 130 -s fe80::/10 -j ACCEPT
Bash.svg
ufw deny from 0.0.0.0

Log

Multicast

/var/log/ufw.log
[UFW BLOCK] IN=eth0 OUT= MAC=01:00:5e:00:00:01:e8:b7:48:bb:29:94:08:00 
                         SRC=0.0.0.0
                         DST=224.0.0.1
    LEN=32 TOS=0x00 PREC=0xC0 TTL=1 ID=0 DF PROTO=2 

# depuis le serveur lui-même
SRC=0.0.0.0
# NDP (neighbor discovery protocol) uses 224.0.0.1 to send a packet in multicast
# 224.0.0.0/8 adresses multicast
DST=224.0.0.1

[UFW BLOCK] IN=eth0 OUT= MAC=33:33:00:00:00:01:00:30:18:54:28:2a:86:dd 
                         SRC=fe80:0000:0000:0000:0230:18ff:fe54:282a 
                         DST=ff02:0000:0000:0000:0000:0000:0000:0001 
    LEN=72 TC=0 HOPLIMIT=1 FLOWLBL=0 PROTO=ICMPv6 TYPE=130 CODE=0 

# depuis le serveur lui-même (ipv6 du serveur)
SRC=fe80:0000:0000:0000:0230:18ff:fe54:282a
# NDP (neighbor discovery protocol) uses ff02::1 to send a packet in multicast
DST=ff02:0000:0000:0000:0000:0000:0000:0001
Bash.svg
# ufw ne log plus s'il trouve une règle qui correspond
# il suffit donc d'autoriser ou d'interdire ces flux
sudo ufw deny from 0.0.0.0 to 224.0.0.1
sudo ufw deny from fe80::0230:18ff:fe54:282a to ff02::1

Erreurs

UFW ne se lance pas au démarrage

En l'absence de solution, cron peut lancer UFW après un reboot.

crontab
@reboot root ufw enable