Comment bloquer le trafic sortant vers les réseaux privés en utilisant UFW sur votre serveur

Introduction : Dans ce tutoriel, nous allons expliquer comment sécuriser votre serveur en bloquant le trafic sortant vers les réseaux privés en utilisant Uncomplicated Firewall (UFW). Cette méthode est particulièrement utile dans les environnements où vous devez vous assurer que votre serveur ne communique pas accidentellement ou malicieusement avec des réseaux internes spécifiés, ce qui est une exigence courante dans de nombreux déploiements sécurisés. Nous aborderons l'installation d'UFW, la configuration des règles de base et la mise en place de refus spécifiques pour les plages d'adresses IP privées.

Prérequis

• Un serveur exécutant Ubuntu ou toute autre distribution Linux basée sur Debian.
• Un accès administratif au serveur.

Étape 1 - Installer et activer UFW

Installer UFW :
UFW, ou Uncomplicated Firewall, est une interface conviviale pour gérer les règles de pare-feu iptables. Sa simplicité rend la gestion d'un pare-feu Linux directe et moins sujette aux erreurs. Commencez par installer UFW sur votre serveur s'il n'est pas déjà installé :

Activer UFW :
Avant de configurer des règles spécifiques, activez UFW pour vous assurer qu'il gère activement le trafic réseau :

Étape 2 - Configurer les paramètres de sécurité de base d'UFW

Définir les politiques par défaut :
Tout d'abord, définissez les politiques par défaut pour refuser toutes les connexions entrantes et sortantes, ce qui établit une base sécurisée :

sudo ufw default deny incoming
sudo ufw default deny outgoing​

Autoriser les services nécessaires :
Ensuite, configurez les ports nécessaires pour vos services comme SSH, HTTP et HTTPS pour garantir que votre serveur reste accessible selon les besoins :

sudo ufw allow (ajoutez votre port ici)
sudo ufw allow 22    # Autoriser SSH​

Recharger UFW :

sudo ufw reload

Vérifier l'état d'UFW :
Après avoir configuré vos règles, vérifiez qu'UFW est en cours d'exécution et que les règles sont correctement appliquées :

Étape 3 - Bloquer les communications vers les réseaux privés

Comprendre les plages d'adresses IP privées :
Les adresses IP privées sont réservées à une utilisation dans les réseaux privés. Elles sont couramment utilisées pour les communications locales au sein d'un réseau et ne sont pas routables sur Internet. Les blocs que nous allons refuser sont :

• 10.0.0.0/8
• 172.0.0.0/8
• 192.0.0.0/8
• 100.0.0.0/8
• 198.0.0.0/8
• 169.0.0.0/8
• 102.0.0.0/8 
• 185.234.0.0/14

Bloquer les communications sortantes :
Pour bloquer les communications sortantes vers ces réseaux, utilisez les commandes UFW suivantes :

sudo ufw deny out from any to 10.0.0.0/8
sudo ufw deny out from any to 172.0.0.0/8
sudo ufw deny out from any to 192.0.0.0/8
sudo ufw deny out from any to 100.0.0.0/8
sudo ufw deny out from any to 198.0.0.0/8
sudo ufw deny out from any to 169.0.0.0/8
sudo ufw deny out from any to 102.0.0.0/8
sudo ufw deny out from any to 185.234.0.0/14

Vérifier et confirmer :
Après avoir défini ces règles, vérifiez la configuration de votre pare-feu :

Vous pouvez également vérifier les règles avec :

Tester la configuration :
Testez vos paramètres de pare-feu en essayant de pinger un appareil dans les plages bloquées, par exemple :

Conclusion : La mise en œuvre de règles de pare-feu pour bloquer le trafic sortant vers les réseaux privés est une mesure de sécurité critique, en particulier lorsque vous n'avez pas un contrôle total sur les logiciels installés sur votre serveur. L'utilisation d'UFW simplifie ce processus et garantit que votre serveur respecte les politiques d'accès au réseau, protégeant ainsi vos systèmes contre les menaces internes potentielles.