Voici la manière dont j'ai configuré mon parefeu ufw.
J'aimerai avoir votre avis: est-ce assez sécurisé? Pertinent? etc.
Code : Tout sélectionner
$sudo ufw status verbose
État : actif
Journalisation : on (medium)
Par défaut : deny (entrant), deny (sortant)
Nouveaux profils : skip
Vers Action Depuis
---- ------ ------
53 ALLOW OUT Anywhere
25/tcp ALLOW OUT Anywhere
143/tcp ALLOW OUT Anywhere
20,21/tcp ALLOW OUT Anywhere
80/tcp ALLOW OUT Anywhere
443/tcp ALLOW OUT Anywhere
110/tcp ALLOW OUT Anywhere
993/tcp ALLOW OUT Anywhere
995/tcp ALLOW OUT Anywhere
465/tcp ALLOW OUT Anywhere
53 ALLOW OUT Anywhere (v6)
25/tcp ALLOW OUT Anywhere (v6)
143/tcp ALLOW OUT Anywhere (v6)
20,21/tcp ALLOW OUT Anywhere (v6)
80/tcp ALLOW OUT Anywhere (v6)
443/tcp ALLOW OUT Anywhere (v6)
110/tcp ALLOW OUT Anywhere (v6)
993/tcp ALLOW OUT Anywhere (v6)
995/tcp ALLOW OUT Anywhere (v6)
465/tcp ALLOW OUT Anywhere (v6)
J'oubliais: pour permettre le ping sortant:
Code : Tout sélectionner
$ sudo gedit /etc/ufw/before.rules
Code : Tout sélectionner
# allow outbound icmp
-A ufw-before-output -p icmp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
-A ufw-before-output -p icmp -m state --state ESTABLISHED,RELATED -j ACCEPT
(traduction approximative (cf règles de iptable):
-A "ajoute aux autres règles"
-p icmp "pour le protocole icmp"
-m "et qui correspondent aux caractéristiques suivantes:"
state --state "dont l'état est:"
NEW,ESTABLISHED,RELATED "nouveau, démarré, en rapport avec"
-j ACCEPT "les accepter".
http://ipset.netfilter.org/iptables.man.html