Ce que j’ai fait
1. Pourquoi UFW ?
Un serveur exposé sur Internet a tous ses ports accessibles par défaut. N’importe qui peut tenter de se connecter sur n’importe quel service.
UFW (Uncomplicated Firewall) permet de fermer tous les ports par défaut et de n’ouvrir que ceux dont on a besoin.
2. Installation
# Installation de UFW
sudo apt install ufw -y3. Configuration
Avant d’ouvrir quoi que ce soit, on bloque tout le trafic entrant et on autorise le trafic sortant.
# Bloquer tout le trafic entrant
sudo ufw default deny incoming
# Autoriser tout le trafic sortant
sudo ufw default allow outgoingPourquoi bloquer le trafic entrant mais autorisé le trafic sortant ?
Car si mon serveur a initié une connexion sortante, alors les réponses entrantes à cette connexion sont automatiquement autorisées. c’est un Pare-feu intelligent.
J’ai ensuite ouvert uniquement les ports dont j’ai besoin :
# Autoriser SSH sur mon port personnalisé
sudo ufw allow ****/tcp
# Autoriser HTTP (pour le site web)
sudo ufw allow 80/tcp
# Autoriser HTTPS (pour le site web sécurisé)
sudo ufw allow 443/tcp⚠️ Étape critique : il faut absolument autoriser le port SSH avant d’activer UFW, sinon on se retrouve complétement bloquer sans possibilité sans possibilité de se reconnecter.
4. Activation
# Activer le pare-feu
sudo ufw enable
# Vérifier les règles en place
sudo ufw status verboseRésultat attendu :
Status: active
To Action From
-- ------ ----
****/tcp ALLOW Anywhere
80/tcp ALLOW Anywhere
443/tcp ALLOW AnywhereSeuls les ports que j’ai choisis sont ouverts. Tout le reste est bloqué.
5. Pour aller plus loin
# Supprimer une règle (exemple : fermer le port 80)
sudo ufw delete allow 80/tcp
# Voir les règles numérotées (utile pour supprimer une règle précise)
sudo ufw status numbered
# Supprimer une règle par son numéro
sudo ufw delete [numero]UFW travaille en complément de Fail2Ban : le pare-feu filtre les ports autorisés, et Fail2Ban bannit les IP qui abusent sur ces ports.