Configurer un pare-feu UFW sur Ubuntu : le guide pas a pas

Votre serveur ou votre PC Linux est connecte a internet, mais il n'a aucune protection ? C'est comme laisser la porte de votre maison grande ouverte en permanence. UFW, c'est le verrou que vous allez installer. On vous guide pas a pas, meme si c'est votre premiere fois avec Linux.

C'est quoi un pare-feu ?

Un pare-feu, c'est un gardien qui surveille tout ce qui entre et sort de votre ordinateur par internet. Chaque fois qu'un programme essaie de se connecter a votre machine, le pare-feu verifie s'il a le droit. Si oui, il le laisse passer. Sinon, il le bloque.

Sans pare-feu, votre serveur accepte toutes les connexions entrantes. C'est comme avoir une maison avec des dizaines de portes, toutes ouvertes, et esperer que personne de mal intentionne ne passe par la.

UFW, le pare-feu simple de Linux

UFW signifie Uncomplicated Firewall, soit "pare-feu simple" en francais. C'est un outil integre a Ubuntu et Debian qui rend la gestion du pare-feu accessible, meme pour les debutants. Sous le capot, il utilise iptables, un systeme de filtrage tres puissant mais complique a configurer directement. UFW, c'est le volant et les pedales ; iptables, c'est le moteur.

Installer et activer UFW

Sur Ubuntu et Debian, UFW est generalement deja installe. Si ce n'est pas le cas, une seule commande suffit pour l'ajouter. Ensuite, il faut l'activer. Par defaut, UFW bloque toutes les connexions entrantes et autorise les connexions sortantes. En clair, personne ne peut entrer, mais vous pouvez sortir. C'est exactement ce qu'on veut comme point de depart.

Ouvrir les portes necessaires

Un serveur a besoin que certaines portes restent ouvertes pour fonctionner. On appelle ces portes des ports. Chaque service utilise un numero de port specifique. Par exemple, un site web utilise le port 80 pour le trafic normal et le port 443 pour le trafic securise. Le SSH, qui permet de se connecter a distance a votre serveur, utilise le port 22.

Avec UFW, ouvrir un port c'est aussi simple que de dire "autorise les connexions sur le port 80". Vous ouvrez uniquement ce dont vous avez besoin, et rien d'autre. C'est comme n'ouvrir que la porte d'entree et laisser toutes les fenetres fermees.

Ne pas se bloquer soi-meme

Attention, piege classique : si vous activez le pare-feu sans d'abord autoriser le SSH, vous vous enfermez dehors. C'est comme claquer la porte de chez vous avec les cles a l'interieur. Avant d'activer UFW, autorisez toujours le port SSH en premier. C'est la regle numero un.

Verifier que tout fonctionne

Une fois UFW active et vos regles en place, vous pouvez afficher la liste de toutes les regles actives pour verifier que tout est correct. Vous verrez quels ports sont ouverts, dans quelle direction, et pour quelles adresses. C'est votre tableau de bord securite.

Les regles de base recommandees

Pour un serveur web classique, les regles de base sont simples : autoriser le SSH pour l'administration a distance, autoriser les ports web pour que votre site soit accessible, et bloquer tout le reste. Si vous utilisez d'autres services, comme un serveur de mail ou un VPN, ajoutez les ports correspondants au cas par cas.

Et apres ?

UFW en mode debutant, c'est deja une protection solide. Mais si vous voulez aller plus loin, limiter le nombre de connexions par minute, creer des regles par application ou automatiser la configuration sur plusieurs serveurs, consultez notre guide de configuration avancee. Un pare-feu bien configure, c'est la base de toute securite informatique.