{"id":147637,"date":"2023-10-10T09:06:20","date_gmt":"2023-10-10T09:06:20","guid":{"rendered":"https:\/\/www.ninjaone.com\/blog\/comment-configurer-un-pare-feu-linux\/"},"modified":"2025-05-27T22:03:46","modified_gmt":"2025-05-27T22:03:46","slug":"comment-configurer-un-pare-feu-linux","status":"publish","type":"post","link":"https:\/\/www.ninjaone.com\/fr\/blog\/comment-configurer-un-pare-feu-linux\/","title":{"rendered":"Comment configurer un pare-feu Linux : le guide ultime"},"content":{"rendered":"

Un <\/span>pare-feu<\/span><\/a> est un gardien num\u00e9rique qui passe m\u00e9ticuleusement au crible le trafic du r\u00e9seau et d\u00e9cide de ce qui peut passer. Ce bouclier protecteur, fondamental pour la cybers\u00e9curit\u00e9, fait partie int\u00e9grante du monde Linux. Le noyau Linux lui-m\u00eame est de facto un pare-feu \u00e0 commutation de paquets, con\u00e7u autour des principes de filtrage de paquets au niveau le plus fondamental du syst\u00e8me d’exploitation, illustrant ainsi le r\u00f4le central des pare-feu dans la s\u00e9curit\u00e9 des syst\u00e8mes. Pour ceux qui s’int\u00e9ressent \u00e0 l’informatique et \u00e0 la <\/span>s\u00e9curit\u00e9 Linux<\/span><\/a>, cette combinaison joue un r\u00f4le essentiel dans la ma\u00eetrise de la d\u00e9fense num\u00e9rique.<\/span><\/p>\n

Une configuration ad\u00e9quate du pare-feu garantit que seul le trafic l\u00e9gitime est trait\u00e9, ce qui r\u00e9duit l’exposition du syst\u00e8me aux menaces potentielles. En d\u00e9finissant des r\u00e8gles sp\u00e9cifiques, les pare-feu peuvent prot\u00e9ger efficacement les services et les donn\u00e9es cruciales. Un pare-feu mal configur\u00e9 peut laisser des ports ouverts par inadvertance, exposer des services sensibles ou m\u00eame bloquer des op\u00e9rations l\u00e9gitimes. De telles configurations erron\u00e9es peuvent constituer une invitation ouverte aux attaquants, entra\u00eenant des violations de donn\u00e9es ou des attaques par d\u00e9ni de service (DoS).<\/span><\/p>\n

Apr\u00e8s avoir<\/span> configur\u00e9 un pare-feu Linux<\/b>, celui-ci fonctionnera en \u00e9valuant les paquets de donn\u00e9es envoy\u00e9s et re\u00e7us par le syst\u00e8me. En v\u00e9rifiant des attributs tels que le port de destination, l’adresse IP source et le protocole, il d\u00e9cide d’autoriser ou de refuser le trafic sur la base de r\u00e8gles pr\u00e9d\u00e9finies.<\/span><\/p>\n

Bonnes pratiques de la configuration d’un pare-feu Linux<\/h2>\n

Dans les domaines de l’administration des syst\u00e8mes Linux et de la cybers\u00e9curit\u00e9, la configuration des pare-feux est un \u00e9l\u00e9ment cl\u00e9 de la d\u00e9fense. Pour s’y retrouver, il faut plus qu’un simple savoir-faire technique : il faut une approche strat\u00e9gique qui s’aligne sur les objectifs de s\u00e9curit\u00e9 plus larges. Voici les pratiques essentielles \u00e0 adopter :<\/span><\/p>\n

Comprendre la politique de s\u00e9curit\u00e9<\/h3>\n

Avant de se pencher sur les configurations, il faut commencer par une politique de s\u00e9curit\u00e9 bien \u00e9tablie. D\u00e9finissez les donn\u00e9es et les services qui doivent \u00eatre prot\u00e9g\u00e9s, et contre quelles menaces, afin de vous assurer que votre pare-feu constitue une premi\u00e8re ligne de d\u00e9fense efficace. Il ne s’agit pas seulement de savoir ce qu’il faut bloquer ni de qui; des consid\u00e9rations relatives \u00e0 la s\u00e9curit\u00e9 de l’information, telles que les m\u00e9thodes de blocage, entrent \u00e9galement en ligne de compte.\u00a0<\/span><\/p>\n

D\u00e9finition de politiques par d\u00e9faut<\/h3>\n

Pour une s\u00e9curit\u00e9 optimale de Linux, adoptez une exposition minimale. La bonne pratique consiste \u00e0 refuser tout acc\u00e8s par d\u00e9faut et \u00e0 n’ouvrir des voies d’acc\u00e8s qu’en cas de n\u00e9cessit\u00e9 , ce qui constitue essentiellement une <\/span>architecture zero-trust<\/span><\/a>. Cela permet de minimiser les surfaces d’exposition aux attaques et de r\u00e9duire l’exposition involontaire. Un cas d’utilisation courant est la distinction entre les r\u00e8gles \u00ab\u00a0deny\u00a0\u00bb et \u00ab\u00a0drop\u00a0\u00bb dans le pare-feu (les premi\u00e8res envoient activement une r\u00e9ponse \u00ab\u00a0REQUEST DENIED\u00a0\u00bb \u00e0 l’exp\u00e9diteur des paquets, tandis que les secondes abandonnent silencieusement les paquets de demande sans r\u00e9ponse). Quiconque a d\u00e9j\u00e0 exploit\u00e9 un serveur de production sur l’internet public peut vous dire qu’il est judicieux de ne pas communiquer son adresse IP \u00e0 des scanners de ports al\u00e9atoires, par exemple.<\/span><\/p>\n

Gestion du trafic entrant et sortant<\/h3>\n

Si l’accent est mis sur la lutte contre le trafic entrant non sollicit\u00e9, la surveillance et le contr\u00f4le du trafic sortant sont tout aussi essentiels. Il garantit que les syst\u00e8mes potentiellement compromis au sein du r\u00e9seau ne deviennent pas la source d’exfiltration de donn\u00e9es ou autres activit\u00e9s malveillantes. Les infections des ordinateurs portables de vos utilisateurs peuvent plus facilement infecter d’autres ordinateurs \u00e0 l’int\u00e9rieur de votre r\u00e9seau (comme le stockage en r\u00e9seau ou les serveurs de l’entreprise) que les pirates eux-m\u00eame, en partie \u00e0 cause du niveau de confiance existant entre les appareils. C’est pourquoi la gestion du parc informatique mobile de votre entreprise avec des produits tels que <\/span>le logiciel de gestion des terminaux de NinjaOne<\/span><\/a> peut contribuer \u00e0 la protection de votre r\u00e9seau central en prot\u00e9geant les appareils contre les virus, les logiciels espions et les cyberattaques telles que les attaques de ransomware, qui sont de plus en plus courantes.<\/span><\/p>\n

Configuration de r\u00e8gles sp\u00e9cifiques \u00e0 un service<\/strong><\/h3>\n

Les diff\u00e9rents services pr\u00e9sentent des vuln\u00e9rabilit\u00e9s vari\u00e9es. Adaptez les r\u00e8gles de votre pare-feu \u00e0 ces nuances, en veillant \u00e0 ce que chaque service, qu’il s’agisse de SSH, de HTTP ou de FTP, dispose de son propre bouclier de d\u00e9fense. Les services de surveillance tels que fail2ban peuvent \u00e9galement surveiller les journaux des services pour y d\u00e9celer des signes d’attaques, et prendre g\u00e9n\u00e9ralement les mesures appropri\u00e9es en ajustant les r\u00e8gles du pare-feu et les listes noires.<\/span><\/p>\n

R\u00e9vision et mise \u00e0 jour r\u00e9guli\u00e8res du pare-feu<\/h3>\n

Les menaces sont en constante \u00e9volution, et vos d\u00e9fenses doivent l’\u00eatre aussi. En examinant et en mettant \u00e0 jour r\u00e9guli\u00e8rement les configurations de votre pare-feu, vous vous assurez qu’elles restent robustes, pertinentes et adapt\u00e9es au monde actuel des menaces. Par essence, la configuration d’un pare-feu Linux ne se limite pas \u00e0 l’\u00e9tablissement de r\u00e8gles : il s’agit de cr\u00e9er une protection compl\u00e8te qui s’aligne sur les normes de s\u00e9curit\u00e9 de l’entreprise.<\/span><\/p>\n

Comment configurer votre pare-feu Linux<\/h2>\n

Introduction \u00e0 iptables et \u00e0 la configuration d’iptables<\/h3>\n

iptables est un puissant utilitaire utilisateur utilis\u00e9 pour configurer les r\u00e8gles de filtrage des paquets IPv4 dans le noyau Linux. Il fait partie du projet netfilter et constitue l’outil de facto pour l’interaction directe avec le cadre de filtrage de paquets du noyau. Gr\u00e2ce \u00e0 iptables, les administrateurs syst\u00e8me peuvent d\u00e9finir des ensembles de r\u00e8gles pour g\u00e9rer le trafic entrant et sortant, garantissant ainsi que le syst\u00e8me est prot\u00e9g\u00e9 contre les communications r\u00e9seau potentiellement malveillantes.<\/span><\/p>\n

Les m\u00e9canismes d’iptables s’articulent autour de trois \u00e9l\u00e9ments principaux<\/span><\/h4>\n
    \n
  1. Tableaux<\/b>: Chaque tableau d\u00e9finit un ensemble de cha\u00eenes et est associ\u00e9 \u00e0 un type sp\u00e9cifique de traitement des paquets.<\/span><\/li>\n
  2. Cha\u00eenes<\/b>: Il s’agit d’un ensemble de r\u00e8gles qui dictent la mani\u00e8re dont les paquets doivent \u00eatre trait\u00e9s. Les trois cha\u00eenes par d\u00e9faut sont INPUT (pour les paquets entrants), OUTPUT (pour les paquets sortants) et FORWARD (pour les paquets rout\u00e9s).<\/span><\/li>\n<\/ol>\n

    R\u00e8gles :<\/b> Les r\u00e8gles d’une cha\u00eene d\u00e9terminent le sort d’un paquet, qu’il s’agisse de l’accepter, de l’abandonner, de le refuser ou de prendre une autre mesure.<\/span><\/p>\n

    Quelques commandes fondamentales d’iptables et leurs configurations<\/span><\/h4>\n
      \n
    1. \n

      Liste des r\u00e8gles en vigueur<\/b><\/h3>\n<\/li>\n<\/ol>\n

      \u00a0\u00a0\u00a0sudo iptables -L -v -n\u00a0<\/span><\/p>\n

      \u00a0\u00a0\u00a0Cette commande affiche toutes les r\u00e8gles actuelles du pare-feu \u00ab\u00a0iptables\u00a0\u00bb.<\/span><\/p>\n

        \n
      1. \n

        D\u00e9finition de politiques par d\u00e9faut<\/b><\/h3>\n<\/li>\n<\/ol>\n

        \u00a0\u00a0\u00a0– Pour supprimer par d\u00e9faut tout le trafic entrant :<\/span><\/p>\n

        \u00a0\u00a0\u00a0\u00a0\u00a0sudo iptables -P INPUT DROP<\/span><\/p>\n

        \u00a0\u00a0\u00a0– Pour autoriser par d\u00e9faut tout le trafic sortant :<\/span><\/p>\n

        \u00a0\u00a0\u00a0\u00a0\u00a0sudo iptables -P OUTPUT ACCEPT<\/span><\/p>\n

          \n
        1. \n

          Autoriser un trafic sp\u00e9cifique<\/b><\/h3>\n<\/li>\n<\/ol>\n

          \u00a0\u00a0\u00a0– Pour autoriser le trafic SSH entrant sur le port 22 :<\/span><\/p>\n

          \u00a0\u00a0\u00a0\u00a0\u00a0sudo iptables -A INPUT -p tcp –dport 22 -j ACCEPT<\/span><\/p>\n

            \n
          1. \n

            Blocage d’un trafic sp\u00e9cifique<\/b><\/h3>\n<\/li>\n<\/ol>\n

            \u00a0\u00a0\u00a0– Pour bloquer le trafic entrant d’une adresse IP sp\u00e9cifique (par exemple, \u00ab\u00a0192.168.1.10\u00a0\u00bb) :<\/span><\/p>\n

            \u00a0\u00a0\u00a0\u00a0\u00a0sudo iptables -A INPUT -s 192.168.1.10 -j DROP<\/span><\/p>\n

              \n
            1. \n

              Configuration NAT (transfert de port)<\/b><\/h3>\n<\/li>\n<\/ol>\n

              \u00a0\u00a0\u00a0– Transf\u00e9rer le trafic entrant sur le port 8080 vers une machine interne 192.168.1.10 sur le port 80 :<\/span><\/p>\n

              \u00a0\u00a0\u00a0\u00a0\u00a0sudo iptables -t nat -A PREROUTING -i eth0 -p tcp –dport 8080 -j DNAT –to-destination 192.168.1.10:80<\/span><\/p>\n

                \n
              1. \n

                R\u00e8gles de sauvegarde<\/b><\/h3>\n<\/li>\n<\/ol>\n

                Les r\u00e8gles dans \u00ab\u00a0iptables\u00a0\u00bb sont volatiles, ce qui signifie qu’elles dispara\u00eetront au red\u00e9marrage si elles ne sont pas sauvegard\u00e9es.\u00a0 Le passage \u00e0 systemd et firewalld sur de nombreuses distributions a introduit un nouveau concept pour la sauvegarde et la gestion des r\u00e8gles iptables. Voici comment vous pouvez sauvegarder vos r\u00e8gles iptables en utilisant la m\u00e9thode systemd, suivie d’une autre m\u00e9thode couramment utilis\u00e9e :<\/span><\/p>\n

                Utiliser la m\u00e9thode systemd<\/h4>\n

                De nombreuses distributions Linux modernes utilisent systemd pour la gestion des syst\u00e8mes et des services. Si vous utilisez iptables avec systemd, vous pouvez utiliser la m\u00e9thode suivante :<\/span><\/p>\n

                Tout d’abord, assurez-vous que le service iptables est param\u00e9tr\u00e9 pour d\u00e9marrer au d\u00e9marrage :<\/span><\/p>\n

                sudo systemctl enable iptables<\/span><\/p>\n

                Apr\u00e8s avoir configur\u00e9 vos r\u00e8gles iptables, enregistrez-les :<\/span><\/p>\n

                sudo sh -c ‘iptables-save > \/etc\/iptables\/iptables.rules’<\/span><\/p>\n

                Ensuite, pour restaurer les r\u00e8gles au d\u00e9marrage, systemd utilisera le service de restauration de iptables, qui lit le fichier \/etc\/iptables\/iptables.rules par d\u00e9faut.<\/span><\/p>\n

                Utilisation du plugin netfilter-persistent<\/h4>\n

                Une autre m\u00e9thode, particuli\u00e8rement populaire sur les syst\u00e8mes non Systemd bas\u00e9s sur Debian, est l’utilisation de netfilter-persistent :<\/span><\/p>\n

                Tout d’abord, vous devez installer les plugins n\u00e9cessaires :<\/span><\/p>\n

                sudo apt-get install iptables-persistent<\/span><\/p>\n

                Lors de l’installation, il vous sera g\u00e9n\u00e9ralement demand\u00e9 de sauvegarder vos r\u00e8gles iptables actuelles. Si vous devez sauvegarder vos r\u00e8gles ult\u00e9rieurement, vous pouvez le faire avec :<\/span><\/p>\n

                sudo netfilter-persistent save<\/span><\/p>\n

                Cette commande permet de sauvegarder les r\u00e8gles actives d’iptables et de les conserver apr\u00e8s le red\u00e9marrage.<\/span><\/p>\n

                Quelle que soit la m\u00e9thode choisie, il est essentiel de sauvegarder r\u00e9guli\u00e8rement vos r\u00e8gles iptables, en particulier avant d’effectuer des modifications importantes. Vous disposerez ainsi d’une configuration fonctionnelle \u00e0 laquelle vous pourrez revenir en cas d’erreurs ou de probl\u00e8mes.<\/span><\/p>\n

                Incorporer \u00ab\u00a0iptables\u00a0\u00bb dans votre strat\u00e9gie de s\u00e9curit\u00e9 Linux n\u00e9cessite une compr\u00e9hension claire de la structure et des besoins de votre r\u00e9seau. Testez toujours les nouvelles configurations dans un environnement contr\u00f4l\u00e9 et conservez des copies des sauvegardes de r\u00e8gles. La puissance et la pr\u00e9cision d’iptables en font une arme \u00e0 double tranchant : mani\u00e9e avec soin, elle constitue une formidable barri\u00e8re, mais utilis\u00e9e de fa\u00e7on inad\u00e9quate, elle peut perturber des fonctions essentielles du r\u00e9seau.<\/span><\/p>\n

                Autres outils de frontend pour iptables<\/h3>\n

                Parmi les autres outils de configuration courants d’iptables, citons ufw (Uncomplicated Firewall), bas\u00e9 \u00e0 l’origine sur Ubuntu, firewalld, bas\u00e9 sur systemd, et le ConfigServer Firewall (CSF).<\/span><\/p>\n

                UFW (Uncomplicated Firewall)<\/h4>\n

                UFW, ou Uncomplicated Firewall, est con\u00e7u pour rendre la configuration du pare-feu iptables plus conviviale. Issu d’Ubuntu, il a \u00e9t\u00e9 adopt\u00e9 par de nombreuses autres distributions en raison de sa simplicit\u00e9 et de sa facilit\u00e9 d’utilisation.<\/span><\/p>\n

                Exemples<\/strong><\/h5>\n

                Activer l’UFW<\/b><\/p>\n