UFW (Uncomplicated Firewall) est l’interface en ligne de commande d’iptables fournie par défaut sur Debian. Voici une installation et une configuration minimales pour sécuriser un VPS sans vous enfermer dehors.
Installation
apt update
apt install ufw
Configuration minimale
À faire avant d’activer le pare-feu : autoriser SSH. Sinon, vous risquez de perdre l’accès au serveur.
Définir les politiques par défaut :
ufw default deny incoming
ufw default allow outgoing
Autoriser SSH (adapter le port si vous n’utilisez pas le 22) :
ufw allow ssh
Si SSH écoute sur un autre port, par exemple 2222 :
ufw allow 2222/tcp
Autoriser ensuite les services dont vous avez besoin (HTTP, HTTPS, etc.) :
ufw allow 80/tcp
ufw allow 443/tcp
Activation
Vérifier les règles avant d’activer :
ufw status
Puis activer UFW :
ufw enable
Une confirmation vous demandera d’accepter le fait que des sessions SSH existantes peuvent être coupées ; c’est normal si SSH est bien autorisé.
Vérifications utiles
État du pare-feu :
ufw status verbose
Liste des règles numérotées (pour en supprimer une plus tard) :
ufw status numbered
Pour supprimer une règle par son numéro :
ufw delete 3
Désactiver ou réinitialiser
Désactiver temporairement :
ufw disable
Remettre UFW à zéro (supprime toutes les règles) :
ufw reset
À utiliser avec précaution : après ufw reset, il faut reconfigurer les règles avant de réactiver, sous peine de tout bloquer ou de laisser tout ouvert selon les défauts.
En résumé : installer UFW, autoriser SSH (et le bon port), autoriser les services nécessaires, puis ufw enable. Sur un VPS, c’est souvent la première chose à mettre en place après l’installation.