- Accueil
- Info légales
- Aide (FAQ)
- Les tags de ce site
- Bloc note
- Articles techniques
- Notes system
- Divers articles
- Drupal
- Notes ITIL 2007
- Notes MS
- Dans le quartier...
- Emploi
- Recettes de cuisine et adresses gourmandes
- mes applis ubuntu préferées
- Divers acronymes du monde social
- Internet 2018
- P2 meublé à louer - quartier du Poteau 75018
- apcos - réseaux sociaux et outils
- Articles techniques
- Divers liens
- Fun
- Mon CV IT
- Nouveautés
Gufw 13.10.2 (GUI pour Uncomplicated Firewall) Interface graphique de UFW
Liens internes: résumé ufw - fichiers de conf - commandes ufw
Site officiel http://gufw.org
Gufw est l'interface graphique de Ufw (intégré à ubuntu, basé sup iptable).
A comparer avec fwbuilder
Dès qu'une règle a été ajoutée, elle est active. Il n'y a pas de moyen dans Gufw pour réorganiser les règles de pare-feu (l'ordre des règles). Pour résoudre un conflit: on doit supprimer les règles concurrentes puis les recréer (dans le bon ordre), ou (pour les versions plus récentes de Gufw) faire un export afin de l'importer par la suite.
Les règles en provenance de UFW ne portent pas de nom (rule name).
La copie d'écran montre une version récente de Gufw, la 13.10.2: choix de profile et statut, et 3 parties: pour les règles (3 boutons: + - et modif), voir les ports en écoute, et les logs de Gufw (pas ceux de UFW, en /var/log/ufw.log) en /var/log/gufw.log.
On y voit un user en train de modifier une règle pour sFTP.
Notes: la ligne Log n'apparait pas toujours. ?!? et surtout, lors d'une modification d'une règle, si Gufw "refuse la syntaxe" alors il l'efface sans prévenir (et on ne peux plus la mettre à la meme place - on doit utiliser le cli) Enfin, lors de mise à jour du système (de 13.10 à 14.04), les anciennes règles persos appartiennent alors à root/Ufw et Gufw refuse de les modifier (et refuse aussi de les exporter - bref, on doit passer en ligne de commande et/ou modifier /lib/ufw/user.rules).
La section "rapport d'écoute" est en fait inutilisable, car sa fenetre n'est pas redimentionnable - là encore un sudo netstat -naptuc | grep -E 'LISTEN|ESTABL' est plus pratique.
Conclusion: Gufw n'est utile que pour passer d'un profil à l'autre (de home à office par ex). Car de toutes facons, il vaut mieux savoir utiliser ufw en ligne de commande (ou tapper iptables), plus complexe).
menus de Gufw
les profiles (fichier/export this profile) Gufw
On peux exporter via fichier/export this profile = que ce qui a été ajouté via Gufw, mais pas les règles crées par ufw
Edition / préférences
Niveau des log de UFW + ajout ou renommer les profils (Office, Public et Home).
La conf de Gufw est à /etc/gufw, on y trouve les 3 profiles, tous en enabled par défaut. Voici les principales différences:
Public | Office | Home |
---|---|---|
incoming = reject outgoing = allow lancé (statut on) |
incoming = deny outgoing = allow lancé (statut on) |
incoming = reject outgoing = allow non lancé (statut off) par défaut |
informe la machine distante (reject) | le plus sécurisé | désactivé => 0 sécurité |
les règles ajoutées via l'interface sont ajoutées ici [Rule0] ... |
En /etc/gufw/app_profiles -> descriptif (texte affiché) par Gufw.
Les règles de Gufw
L'ensemble des règles ufw apparaîtront dans tous les profils.
Policy : Allow, Deny, Reject, et Limit
- Allow: acceptera le traffic entrant (pour un port).
- Deny: bloque le traffic entrant (pour un port).
- Reject: bloque le traffic entrant et informe la machine qui demande la connection du rejet.
- Limit: bloque toute connextion si une adresse IP a tenté d'initialiser 6 (ou +) connections dans les 30 dernières secondes.
Ajout d'une règle
ports 20, 21 , = et ports 20:28 : = de 20 à 28 on peux faire: 20, 12333:12335 192.168.0.0/24 passe aussi (encore faut-il pouvoir écrire dans le champ IP).
Cf http://www.techotopia.com/index.php/Using_gufw_and_ufw_to_Configure_an_Ubuntu_11.04_Firewall#Adding_Preconfigured_Firewall_Rules
A chaque ajout d'une règle ipv4, Gufw crée la règle ipv6 correspondante (en bas).
Rapport d'écoute
La doc Gufw indique que cela affiche les états "listening" pour TCP et "open" pour UDP.
Copie d'écran d'une install fraiche 14.04 LTS, 30 avril 2014 (sur une machine vmware)
Le netstat montre des lignes TCP cups et dnsmasq, et des UDP avahi qui sont absentes de Gufw (qui ne montre que UDP).
Pour rappel: cupsd est le daemon d'impression linux, et avahi est la version du Bonjour d'Apple (voir zeroconf-avahi qui n'est pas à jour mais en francais - voir plutot manpages.ubuntu.com). Dnsmasq est un serveur dns et dhcp très léger.
install
sudo apt-get install gufw
gufw
Pour ubuntu 14.04 LTS, la version de Gufw est 14.02.2 LTS.
règles avancées
Sur le web
Site officiel http://gufw.org
- Doc débutant en fr (ubuntu) de Gufw et mieux sur sur hirondelle. (anciens liens)