Hostinger

Activer et configurer un pare-feu UFW sur votre VPS

UFW est un pare-feu qui contrôle les ports ouverts. Il bloque tout sauf ce que vous autorisez, ce qui réduit les attaques.

Installer UFW

sudo apt update

sudo apt install ufw

Vérifier que UFW est installé

Pour s’assurer que l’installation de UFW s’est bien déroulée, on peut vérifier le numéro de version.

ufw version

Normalement, vous devriez voir un numéro de version :

# ufw 0.36.1
# Copyright 2008-2021 Canonical Ltd.

Configurer UFW

Bloquer toutes les connexions entrantes

Nous allons bloquer toute les connexions entrantes. Par la suite, nous débloquerons seulement les ports que nous avons besoins.

sudo ufw default deny incoming

Nous avons bloqué tout le trafic, mais le pare-feu UFW n’est pas encore activé. Par conséquent, notre VPS ne prend pas en compte le blocage.

Pour vérifier, tapez la commande suivante :

sudo ufw status
# Status: inactive

Activer UFW

Pour activer UFW, vous pouvez utiliser cette commande :

sudo ufw enable
# Firewall is active and enabled on system startup

Vérifions :

sudo ufw status
# Status: active

Ça marche ! 👌

Étant donné que tous les ports entrant sont actuellement bloqués, le port 2200 que nous avons configuré pour SSH est également inaccessible.

On peut le vérifier en essayant d'accéder à notre VPS depuis notre machine locale.

# ssh: connect to host ... port 2200: Connection timed out

Cela ne fonctionnera plus, ce qui est normal. Cela indique que notre pare-feu fonctionne correctement.

Pour faire en sort que la commande SSH fonctionne de nouveau, il faut ouvrir le port 2200.

Débloquer un port (autoriser une connexion)

Nous allons débloquer le port 2200 de notre VPS grâce à cette commande :

sudo ufw allow 2200/tcp
# Rule added
# Rule added (v6)

La nouvelle règle est automatiquement prise en compte.

Pour vérifier, connectez-vous de nouveau à partir de votre machine locale et cela devrait fonctionner à nouveau.

Liste des règles UFW

On peut lister les règles UFW.

sudo ufw status

Cette commande permet de vérifier l’état d’activation d’UFW et d’afficher la liste des règles.

# To                         Action      From
# --                         ------      ----
# 2200/tcp                   ALLOW       Anywhere                  
# 2200/tcp (v6)              ALLOW       Anywhere (v6)

Et les connexions sortantes ? 😐

Automatiquement, les connexions sortantes sont toutes autorisées. Cela permet au système de fonctionner correctement :

  • apt update
  • ping
  • curl
  • navigateur web (on en a pas besoin dans un VPS) 🙂‍↔️

Vous pouvez également bloquer les connexions sortantes, mais il faudra ensuite veiller à autoriser les ports nécessaires au bon fonctionnement des services.

Comprendre la différence entre connexions entrantes et sortantes !

Les connexions entrantes et sortantes représentent deux directions dans le réseau.

Une connexion sortante est initiée depuis votre ordinateur ou serveur vers l’extérieur. Par exemple, lorsque vous ouvrez Firefox et accédez à un site web, votre machine établit une connexion sortante vers ce site (par exemple, www.exemple.com).

Une connexion entrante vient de l’extérieur vers votre machine. Par exemple, si vous avez un serveur web ou SSH installé et qu’un utilisateur tente de s’y connecter, il s’agit d’une connexion entrante. Les pare-feux (comme UFW) permettent de contrôler ces deux types de connexions pour renforcer la sécurité.

En général, certaines connexions entrantes (comme SSH) sont autorisées, tandis que les connexions sortantes sont laissées libres pour que le système fonctionne normalement (mise à jour, navigation, etc.).