Linux

Comment installer un pare-feu sous Linux ?

Par Julien Roland , le 04/04/2021 , mis à jour le 05/04/2021 - 5 minutes de lecture

De la même manière qu’un système Windows, une machine Linux expose souvent un ou plusieurs services vers l’extérieur. Ceux-ci peuvent être entre autres un serveur SSH pour des connexions console (ou graphiques d’ailleurs) distantes, un serveur NFS qui expose une partie du système de fichiers, ou bien encore un serveur SAMBA qui propose du partage de fichiers et de dossiers compatible avec Windows. Ce ne sont que quelques exemples. Bien que chacun de ces services dispose de ses propres paramètres de sécurité permettant de filtrer les accès, ça n’est souvent fondamentalement pas suffisant, particulièrement (mais pas que) lorsque nous considérons qu’ils sont installés sur un ordinateur portable, susceptible par exemple de se connecter à des hot-spots wifi publics. Dans ce genre de conditions, l’utilisation d’un pare-feu masquant et protégeant les services réseau exposés par la machine est indispensable pour aider à se prémunir des tentatives d’accès non sollicitées. C’est pourquoi nous allons voir ici comment installer un pare-feu sous Linux.

Les modules noyau netfilter/iptables (et nftables)

En réalité, toutes les distributions Linux disposent déjà d’un pare-feu, car celui-ci est une composante du noyau Linux, par l’intermédiaire de l’ensemble netfilter. C’est lui qui sait traiter le trafic, entrant, sortant, traversant etc…et exécuter des règles de contrôle d’accès éventuelles. Cependant, nous avons besoin d’une interface nous permettant de dialoguer avec netfilter, pour lui dire quoi faire dans telle ou telle situation. Une interface historique est le programme iptables, qui comme son nom l’indique, permet de dialoguer avec les différentes tables contenant les règles de contrôle d’accès pour le trafic réseau vers ou depuis notre machine.

LIRE AUSSI  Quelles sont les principales distributions Linux ?

Un nouveau cadriciel tend à s’imposer pour remplacer iptables et en partie netfilter à moyen terme est nftable. Ce dernier dispose d’une interface en ligne de commandes plus concise et plus efficace que iptables, qui est le programme nft; ils forment l’avenir du firewalling sous Linux.

Quelle que soit l’interface utilisée pour dialoguer avec netfilter/iptables ou nftables, leur puissance n’a d’égale que leur complexité, et, dans le cadre d’une utilisation « bureautique » de notre machine, sans prise de tête, ce ne sont pas les utilitaires à privilégier en priorité pour gérer notre pare-feu. Pour nous simplifier la tâche, il existe heureusement plusieurs utilitaires très simples à installer et à utiliser qui vont piloter pour nous le pare-feu du noyau Linux.

Les utilitaires graphiques : comment installer un pare-feu facile à utiliser

Comme dit précédemment, il y a en plusieurs.

firewalld

Il est bien souvent installé par défaut dans des distributions comme Fedora ou OpenSUSE. Il permet de gérer les différentes interfaces réseau de la machine indépendamment, de créer des zones à assigner aux interfaces (maison, réseau public, travail etc…) lesquelles auront des règles de contrôle d’accès spécifiques, adaptées à leur situation (typiquement, on ferme tout lorsque l’interface est dans un réseau public par exemple). Comme déjà dit, il est souvent installé par défaut, mais dans le cas contraire, voyons comment installer ce pare-feu.

LIRE AUSSI  Comment configurer un dual-boot Windows 10 / Ubuntu Linux ?

Sur OpenSUSE

Avec le gestionnaire de paquets en ligne de commande zypper, on recherche les paquets évoquant firewalld :

zypper search firewalld

zypper search firewalld

On remarque le paquet firewalld, et un paquet contenant un pack de traductions pour l’interface. On les installe avec la commande :

zypper install firewalld firewalld-lang

zypper install firewalld

On active et on démarre le service firewalld :

systemctl enable firewalld
systemctl start firewalld

activer firewalld

L’interface est gérée par le programme multi-fonctions de configuration d’OpenSUSE : YaST2, qui sait interagir avec firewalld.

interface firewalld opensuse

Sur Fedora

Avec le gestionnaire de paquets en ligne de commande dnf, on recherche les paquets évoquant firewalld :

dnf search firewalld

dnf search

L’application est fournie par le paquet firewalld que nous allons installer. Attention, cette recherche ne remonte pas le paquet firewall-config, qui est nécessaire pour nous permettre d’interagir facilement avec firewalld, nous l’installerons aussi.

dnf info

La commande d’installation est la suivante :

dnf install firewalld firewall-config

dnf install

On active et on démarre le service firewalld :

systemctl enable firewalld
systemctl start firewalld

activation firewalld

La configuration se fait grâce à l’utilitaire graphique firewall-config.

firewall-config

ufw et gufw

Un autre utilitaire de configuration du pare-feu Linux est ufw. Il se veut simple d’utilisation, mais est en mode texte. Pour palier à cela, toujours dans notre recherche de petit utilitaire firewall graphique simple d’utilisation, on peut installer une interface graphique pour ufw : gufw.
Gufw permet de gérer des profils de règles (par exemple maison, ou public), et propose un petit assistant permettant de générer automatiquement des règles depuis la liste des services en écoute sur le système.

LIRE AUSSI  Qu'est-ce que Linux ?

Sur Ubuntu

Bien qu’inactif, l’utilitaire ufw est installé par défaut dans Ubuntu, mais sans son interface graphique. Nous allons cependant voir comment tout installer, et activer. L’installation se fait en utilisant le gestionnaire de paquets en ligne de commandes apt avec la commande suivante :

sudo apt install ufw gufw

installation ufw

On active et on démarre ensuite le service de parefeu avec les commandes suivantes :

systemctl enable ufw
systemctl start ufw

activation ufw

L’interface graphique est ensuite accessible depuis le lanceur d’applications de l’environnement Gnome.

interface gufw

Notez que si vous êtes utilisateur Ubuntu, et que vous préférez utiliser firewalld à la place de ufw, c’est tout à fait possible, en installant firewalld et firewalld-config depuis les paquets du même nom.

Commentaires

Laisser un commentaire

Votre commentaire sera révisé par les administrateurs si besoin.