Sécurisation des serveurs Linux Ubuntu/Debian/Alma/CentOS avec les pare-feu Iptables et UFW

Introduction : Dans ce tutoriel, nous vous guiderons à travers la sécurisation de votre serveur Ubuntu en utilisant à la fois Iptables et Uncomplicated Firewall (UFW). Iptables est un outil de pare-feu puissant qui offre des capacités étendues pour configurer les règles de trafic réseau, tandis que UFW fournit une interface conviviale pour gérer les règles de pare-feu sur Ubuntu.

Partie 1 : Configuration d'Iptables

Étape 1 : Ouvrir un terminal
Accédez au terminal de votre serveur Ubuntu via SSH ou votre méthode préférée.

Étape 2 : Vérifier les règles Iptables actuelles
Pour voir les règles existantes dans votre pare-feu, exécutez :

Cette commande liste toutes les règles actuelles définies dans le pare-feu Iptables.

Étape 3 : Configurer les règles de base d'Iptables
Commencez par définir les politiques par défaut et configurer les règles essentielles.

sudo iptables -P INPUT DROP
sudo iptables -A INPUT -i lo -j ACCEPT
sudo iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 443 -j ACCEPT

Ces commandes établissent une sécurité de base en bloquant tout le trafic entrant sauf pour SSH, HTTP et HTTPS, tout en autorisant tout le trafic sur l'interface de bouclage et les connexions établies.

Étape 4 : Bloquer des ports spécifiques
Pour renforcer la sécurité, notamment contre les menaces liées aux mails et les attaques par force brute, bloquez les ports mail courants :

sudo iptables -A INPUT -p tcp --dport 25 -j DROP
sudo iptables -A INPUT -p tcp --dport 587 -j DROP
sudo iptables -A INPUT -p tcp --dport 465 -j DROP
sudo iptables -A OUTPUT -p tcp --dport 25 -j DROP
sudo iptables -A OUTPUT -p tcp --dport 587 -j DROP
sudo iptables -A OUTPUT -p tcp --dport 465 -j DROP

Étape 5 : Installer Iptables Persistent
Pour s'assurer que les règles persistent après un redémarrage, installez iptables-persistent :

Étape 6 : Sauvegarder la configuration d'Iptables
Sauvegardez la configuration active dans un fichier :

Partie 2 : Configuration d'UFW

Étape 1 : Activer UFW
Assurez-vous qu'UFW est activé pour gérer facilement les règles de pare-feu :

Étape 2 : Configurer les règles d'UFW
Configurez les règles dans UFW pour correspondre à vos exigences de sécurité :

sudo ufw deny 25/tcp
sudo ufw deny 465/tcp
sudo ufw deny 587/tcp
sudo ufw allow ssh
sudo ufw allow {ajouter des ports}/tcp
sudo ufw deny {ajouter des ports}/udp

Ces règles bloquent des ports spécifiques tout en autorisant le trafic nécessaire, comme SSH. Dans le champ "ajouter des ports", vous devez ajouter les ports à travers lesquels vous souhaitez autoriser le trafic. Par exemple, pour autoriser le trafic sur plusieurs ports, vous pouvez faire "sudo ufw allow 10,15,20,40/tcp" ce qui autorisera le trafic sur les ports 10, 15, 20 et 40.

Étape 3 : Bloquer le trafic sortant vers des sous-réseaux spécifiques
Pour empêcher le trafic vers et depuis des sous-réseaux privés potentiellement nuisibles, configurez des règles sortantes :

sudo ufw deny out from any to 10.0.0.0/8
sudo ufw deny out from any to 172.16.0.0/12
sudo ufw deny out from any to 100.64.0.0/10

Partie 3 : Activation et surveillance

Activer Iptables et UFW au démarrage
Assurez-vous que les deux configurations de pare-feu sont définies pour s'activer au démarrage :

Pour UFW, il est activé par défaut après l'installation et la configuration.

Étape finale : Surveiller et ajuster
Vérifiez régulièrement l'état de votre pare-feu et ajustez les règles si nécessaire :

sudo systemctl status iptables.service
sudo ufw status verbose

En suivant ces étapes, vous avez renforcé votre serveur Ubuntu contre les accès non autorisés et les menaces réseau, en utilisant à la fois Iptables et UFW. Passez régulièrement en revue et mettez à jour vos règles pour vous adapter aux nouveaux défis de sécurité.