Configurer le pare-feu UFW

UFW : Guide Complet du Pare-feu Ubuntu

UFW (Uncomplicated Firewall) est l'interface simplifiée d'iptables sur Ubuntu et Debian. Ce guide vous accompagne dans la configuration complète d'un pare-feu sécurisé sur vos VPS RedHeberg.

Attention - Risque de lockout SSH

Configurez toujours les règles SSH en premier pour éviter de perdre l'accès à votre serveur. Gardez une session SSH ouverte pendant la configuration.

Installation et Activation

Installation d'UFW

# Mise à jour du système
sudo apt update && sudo apt upgrade -y

# Installation d'UFW (généralement pré-installé sur Ubuntu)
sudo apt install ufw -y

# Vérification de l'installation
ufw --version

Configuration Initiale Sécurisée

# Définir les règles par défaut AVANT l'activation
sudo ufw default deny incoming
sudo ufw default allow outgoing

# IMPORTANT : Autoriser SSH en premier
sudo ufw allow ssh
# Ou spécifiquement le port 22
sudo ufw allow 22/tcp

# Activation du pare-feu
sudo ufw enable

# Vérification du statut
sudo ufw status verbose

Règles de Base par Service

Serveurs Web

# HTTP standard
sudo ufw allow 80/tcp

# HTTPS sécurisé
sudo ufw allow 443/tcp

# HTTP alternatif (ex: Apache2 sur port 8080)
sudo ufw allow 8080/tcp

# Règle combinée HTTP/HTTPS
sudo ufw allow "Apache Full"
# Ou pour Nginx
sudo ufw allow "Nginx Full"

Serveurs de Bases de Données

# MySQL/MariaDB (accès local uniquement recommandé)
sudo ufw allow from 127.0.0.1 to any port 3306

# PostgreSQL
sudo ufw allow from 127.0.0.1 to any port 5432

# Redis
sudo ufw allow from 127.0.0.1 to any port 6379

# MongoDB
sudo ufw allow from 127.0.0.1 to any port 27017

Services Mail

# SMTP
sudo ufw allow 25/tcp

# SMTP sécurisé (submission)
sudo ufw allow 587/tcp

# IMAP
sudo ufw allow 143/tcp

# IMAP sécurisé
sudo ufw allow 993/tcp

# POP3 sécurisé
sudo ufw allow 995/tcp

Règles Avancées par Adresse IP

Autoriser une IP Spécifique

# Autoriser une IP complète
sudo ufw allow from YOUR_SERVER_IP

# Autoriser une IP sur un port spécifique
sudo ufw allow from YOUR_SERVER_IP to any port 22

# Autoriser un sous-réseau
sudo ufw allow from 192.168.1.0/24

# Autoriser un sous-réseau sur un service
sudo ufw allow from 10.0.0.0/8 to any port 3306

Règles de Déni

# Bloquer une IP spécifique
sudo ufw deny from 192.168.1.100

# Bloquer un sous-réseau
sudo ufw deny from 192.168.2.0/24

# Bloquer l'accès à un port depuis une IP
sudo ufw deny from YOUR_SERVER_IP to any port 80

Gestion d'IPv6

Activation IPv6

# Éditer la configuration UFW
sudo nano /etc/default/ufw

# Vérifier/modifier cette ligne :
IPV6=yes

# Redémarrer UFW après modification
sudo ufw disable
sudo ufw enable

Règles IPv6 Spécifiques

# Autoriser SSH en IPv6
sudo ufw allow from 2001:db8::/32 to any port 22

# Règle IPv6 pour serveur web
sudo ufw allow from ::/0 to any port 80
sudo ufw allow from ::/0 to any port 443

Gestion et Maintenance

Consultation des Règles

# Statut détaillé
sudo ufw status verbose

# Statut numéroté (pour suppression)
sudo ufw status numbered

# Logs du pare-feu
sudo tail -f /var/log/ufw.log

Suppression de Règles

# Supprimer par numéro (utiliser ufw status numbered)
sudo ufw delete 3

# Supprimer par règle exacte
sudo ufw delete allow 80/tcp

# Supprimer une règle IP
sudo ufw delete allow from YOUR_SERVER_IP

Réinitialisation Complète

# Réinitialiser toutes les règles
sudo ufw --force reset

# Désactiver UFW
sudo ufw disable

# Réactiver avec nouvelles règles
sudo ufw enable

Profils d'Application

Consultation des Profils

# Lister les profils disponibles
sudo ufw app list

# Informations sur un profil
sudo ufw app info "Apache Full"

Profils Courants RedHeberg

Service	Profil UFW	Ports
Apache	`Apache Full`	80,443/tcp
Nginx	`Nginx Full`	80,443/tcp
OpenSSH	`OpenSSH`	22/tcp
Postfix	`Postfix`	25/tcp

Exemple : Configuration VPS Game Ryzen

# Configuration type pour serveur de jeu avec Anti-DDoS PRO
sudo ufw default deny incoming
sudo ufw default allow outgoing

# SSH administrateur
sudo ufw allow 22/tcp

# Serveur Minecraft
sudo ufw allow 25565/tcp

# Panel Pterodactyl
sudo ufw allow 80/tcp
sudo ufw allow 443/tcp
sudo ufw allow 8080/tcp

# FTP pour transferts
sudo ufw allow 21/tcp
sudo ufw allow 20/tcp

# Activation
sudo ufw enable

Protection Anti-DDoS RedHeberg + Netrix

Les VPS Game Ryzen incluent l'Anti-DDoS PRO qui filtre le trafic malveillant avant qu'il n'atteigne votre pare-feu UFW, optimisant les performances de votre serveur.

Logs et Monitoring

Surveillez /var/log/ufw.log pour analyser les tentatives d'accès et ajuster vos règles selon les besoins de votre application.

UFW : Guide Complet du Pare-feu Ubuntu

Installation et Activation​

Installation d'UFW​

Configuration Initiale Sécurisée​

Règles de Base par Service​

Serveurs Web​

Serveurs de Bases de Données​

Services Mail​

Règles Avancées par Adresse IP​

Autoriser une IP Spécifique​

Règles de Déni​

Gestion d'IPv6​

Activation IPv6​

Règles IPv6 Spécifiques​

Gestion et Maintenance​

Consultation des Règles​

Suppression de Règles​

Réinitialisation Complète​

Profils d'Application​

Consultation des Profils​

Profils Courants RedHeberg​

Exemple : Configuration VPS Game Ryzen​