Linux

Installer un pare-feu sous Linux

Par Julien Roland , le 16/04/2026 , mis à jour le 16/04/2026 - 13 minutes de lecture
Interface graphique gufw pour configurer le pare-feu ufw sur Ubuntu
AccueilSystèmes d'exploitationLinuxInstaller un pare-feu sous Linux

Une machine Linux expose presque toujours des services réseau vers l’extérieur : serveur SSH pour les connexions distantes, serveur NFS pour le partage de fichiers, serveur Samba pour l’interopérabilité avec Windows, ou encore un simple serveur web pour développer en local. Chaque service possède ses propres réglages de sécurité, mais ils ne suffisent pas à protéger la machine, surtout quand l’appareil se connecte à des hot-spots Wi-Fi publics ou à des réseaux inconnus.

Un pare-feu bloque les connexions non sollicitées, masque les ports ouverts et journalise les tentatives d’intrusion. Sous Linux, plusieurs outils coexistent pour le configurer, du plus bas niveau (nftables, iptables) aux interfaces graphiques les plus accessibles (firewall-config, gufw). Ce guide détaille la procédure complète pour installer un pare-feu sous Linux, sur les trois familles de distributions les plus courantes : Ubuntu, Fedora et OpenSUSE.

📌 L’essentiel à retenir

Toutes les distributions Linux intègrent un pare-feu dans le noyau via netfilter, piloté aujourd’hui par nftables plutôt que l’ancien iptables. Pour le configurer sans ligne de commande complexe, trois gestionnaires dominent : firewalld (Fedora, OpenSUSE, RHEL) avec son système de zones, ufw sur Ubuntu et Debian pour la ligne de commande simplifiée, et gufw pour l’interface graphique associée. L’installation se fait en quelques commandes avec dnf, zypper ou apt, suivies de l’activation du service via systemctl.

Comprendre netfilter, iptables et nftables

Toutes les distributions Linux embarquent déjà un pare-feu. Il est intégré au noyau Linux, sous la forme du sous-système netfilter. Netfilter examine chaque paquet réseau (entrant, sortant, transitant) et applique les règles que vous avez définies. Pour dialoguer avec lui, deux interfaces existent.

La première, historique, s’appelle iptables. Elle manipule des tables de règles (filter, nat, mangle) et reste omniprésente dans les documentations anciennes. La seconde, moderne, se nomme nftables. Elle propose une syntaxe plus concise via la commande nft et remplace progressivement iptables sur la plupart des distributions. Depuis Debian 11, Ubuntu 22.04 et Fedora 32, nftables est le moteur par défaut, même quand les outils historiques semblent encore disponibles.

Ces outils restent toutefois complexes pour un usage courant. Pour une machine de bureau, mieux vaut passer par un gestionnaire de plus haut niveau qui pilote netfilter à votre place. Trois options dominent : firewalld, ufw et gufw.

Installer firewalld, la solution zones et profils

firewalld est installé par défaut sur Fedora, OpenSUSE, RHEL, CentOS Stream et Rocky Linux. Son point fort : la gestion par zones. Chaque interface réseau (Wi-Fi domestique, filaire au bureau, 4G en mobilité) reçoit une zone distincte avec ses règles propres. Le pare-feu ferme automatiquement les services quand vous passez sur un réseau public, et rouvre ceux dont vous avez besoin à la maison.

Installer firewalld sur OpenSUSE

Avec zypper, le gestionnaire de paquets d’OpenSUSE, cherchez d’abord les paquets disponibles :

zypper search firewalld
Résultat de la commande zypper search firewalld pour installer un pare-feu sous Linux OpenSUSE

Installez le paquet principal ainsi que les traductions pour une interface en français :

zypper install firewalld firewalld-lang
Installation de firewalld sur OpenSUSE avec zypper install

Activez ensuite le service pour qu’il démarre à chaque boot, puis lancez-le immédiatement :

systemctl enable firewalld
systemctl start firewalld
Activation du service firewalld avec systemctl sur Linux

L’interface de configuration se trouve dans YaST2, l’outil d’administration d’OpenSUSE, qui sait dialoguer nativement avec firewalld.

Interface graphique de firewalld dans YaST2 sur OpenSUSE

Installer firewalld sur Fedora

Sur Fedora, le gestionnaire de paquets dnf prend le relais. Commencez par la recherche :

dnf search firewalld
Résultat de la commande dnf search firewalld sur Fedora

Le paquet firewalld apparaît, mais pas firewall-config qui fournit l’interface graphique. Pensez à les installer tous les deux.

Détails du paquet firewalld affichés avec dnf info

La commande d’installation complète est la suivante :

dnf install firewalld firewall-config
Installation de firewalld et firewall-config avec dnf install sur Fedora

Activez et démarrez le service comme sur OpenSUSE :

systemctl enable firewalld
systemctl start firewalld
Activation du service firewalld sur Fedora avec systemctl

La configuration se pilote ensuite depuis l’utilitaire graphique firewall-config, accessible depuis le menu applicatif de votre environnement de bureau.

Interface graphique firewall-config pour configurer firewalld sur Fedora

Installer ufw et gufw sur Ubuntu

ufw (Uncomplicated Firewall) est l’outil historique des distributions dérivées de Debian, à commencer par Ubuntu. Sa ligne de commande est volontairement simplifiée : ufw allow 22 ouvre le port SSH, ufw deny http ferme le web. Pour ceux qui préfèrent une interface graphique, gufw apporte un front-end accessible. Il propose des profils prédéfinis (Maison, Bureau, Public) et un assistant qui génère automatiquement des règles à partir des services en écoute sur la machine.

Sur Ubuntu, ufw est déjà installé mais désactivé par défaut. L’interface graphique manque et doit être ajoutée manuellement. La commande d’installation complète se fait avec apt :

sudo apt install ufw gufw
Installation de ufw et gufw sur Ubuntu avec apt install

Activez le service pour qu’il démarre automatiquement et lancez-le :

sudo systemctl enable ufw
sudo systemctl start ufw
sudo ufw enable
Activation du service ufw sur Ubuntu avec systemctl

L’interface gufw se lance ensuite depuis le lanceur d’applications de votre environnement de bureau, qu’il s’agisse de Gnome, KDE Plasma ou Xfce.

Interface graphique gufw pour configurer le pare-feu ufw sur Ubuntu

Utilisateur d’Ubuntu mais habitué à firewalld ? Rien n’empêche de remplacer ufw par firewalld en installant les paquets firewalld et firewall-config depuis les dépôts officiels. Pensez simplement à désactiver ufw au préalable (sudo ufw disable) pour éviter les conflits entre les deux gestionnaires.

Quelques règles de bonne pratique après installation

Un pare-feu activé ne suffit pas à lui seul. Quelques réflexes complètent la protection :

  • Fermez par défaut tout le trafic entrant, puis ouvrez explicitement les services nécessaires (SSH, serveur web local, partage de fichiers).
  • Utilisez les zones de firewalld pour adapter le niveau de protection au réseau courant : zone public sur un hot-spot, zone home sur votre box.
  • Couplez le pare-feu à un antivirus Linux pour les fichiers transitant depuis Windows, ainsi qu’à une sauvegarde régulière du système.
  • Consultez régulièrement les journaux (journalctl -u firewalld ou sudo ufw status verbose) pour repérer les tentatives de connexion bloquées.
  • Sous Windows, la logique reste comparable, voir notre guide pour activer ou désactiver le pare-feu Windows.

Foire aux questions

Faut-il vraiment installer un pare-feu sous Linux ?

Oui, dès que la machine expose des services réseau ou se connecte à des réseaux non maîtrisés. Linux est moins ciblé que Windows, mais les tentatives de connexion sur SSH ou Samba restent fréquentes. Un pare-feu bien configuré bloque ces sondages automatiques et réduit la surface d’attaque.

Quelle différence entre iptables et nftables ?

iptables est l’interface historique de netfilter, en place depuis 1998. nftables la remplace progressivement avec une syntaxe plus concise et de meilleures performances. La plupart des distributions modernes utilisent nftables par défaut, même quand les commandes iptables semblent encore disponibles (elles sont alors traduites à la volée).

Firewalld ou ufw : lequel choisir ?

Firewalld convient mieux si vous changez souvent de réseau (grâce aux zones) ou si vous utilisez Fedora, OpenSUSE, RHEL ou dérivés. Ufw reste le choix naturel sous Ubuntu et Debian, particulièrement avec gufw pour l’interface graphique. Les deux s’appuient in fine sur nftables.

Comment vérifier que le pare-feu est actif sur Linux ?

Pour firewalld, tapez sudo firewall-cmd –state : la réponse doit être running. Pour ufw, utilisez sudo ufw status qui renvoie active ou inactive. Un simple sudo systemctl status firewalld ou sudo systemctl status ufw confirme aussi le lancement du service.

Un pare-feu Linux protège-t-il des virus et malwares ?

Non, un pare-feu filtre uniquement les connexions réseau. Il ne détecte pas les fichiers infectés téléchargés ou partagés. Pour une protection complète, associez-le à un antivirus comme ClamAV ou ESET NOD32 Linux, surtout si vous échangez des fichiers avec des postes Windows.

Que faire si je me bloque hors du serveur SSH après avoir activé le pare-feu ?

C’est un grand classique. Avant d’activer ufw ou firewalld sur un serveur distant, ouvrez toujours le port SSH d’abord (sudo ufw allow 22 ou sudo firewall-cmd –add-service=ssh –permanent). Si l’accès est déjà perdu, il faut passer par la console locale ou par l’interface du fournisseur cloud pour rétablir l’accès.

Peut-on utiliser iptables et firewalld en même temps ?

Non, les deux outils se marchent sur les pieds car ils manipulent les mêmes tables netfilter. Choisissez l’un ou l’autre, désactivez le concurrent (sudo systemctl stop iptables) et purgez les règles restantes (sudo iptables -F) avant de démarrer votre pare-feu choisi.

Cela pourrait aussi vous intéresser

Page d'accueil du gestionnaire Logiciels de Gnome avec les catégoriesComment installer des logiciels sous Linux ? Analyse de réputation d'un fichier avec clamtkComment installer un antivirus sous Linux ? bureau LXQt Lubuntu : une distrubibution Linux légère pour équiper les vieux ordinateursQuelle distribution Linux installer sur un vieux PC ? Ludothèque Lutris avec plusieurs jeux installés sous LinuxComment jouer à des jeux vidéo sous Linux ?
Tux, la mascotte du noyau Linux. (c) Larry Ewing

Julien Roland

Technicien systèmes et réseaux depuis plus de 15 ans, je travaille au sein des infrastructures informatiques d'une entité de plusieurs milliers d'utilisateurs. Convaincu du fait qu'il existe des produits d'excellence à la fois issus du monde propriétaire et du monde open source, j'aime butiner dans les deux. Cependant j'ai une appétence particulière pour les logiciels libres de par leur esprit d'universalité et de partage. Mes contributions passent par le partage et la transmission des mes connaissances et expériences, mais aussi par l'aide et le conseil que je peux apporter autour de moi.

Commentaires

Laisser un commentaire

Votre commentaire sera révisé par les administrateurs si besoin.

Newsletter gratuite