Configurer UFW - bloquer le superflu sur son VPS
Voici comment mettre en place un firewall basique et fonctionnel sur un VPS fraîchement reçu, en une dizaine de minutes, sans avoir besoin de maîtriser iptables en profondeur.
UFW (Uncomplicated Firewall) est une surcouche simplifiée à iptables, conçue pour configurer un firewall sans se battre
avec sa syntaxe native. Présent par défaut sur Debian/Ubuntu, il s'installe sinon en une commande : apt install ufw.
Le principe de base
Tout bloquer en entrée, tout autoriser en sortie, puis n'ouvrir que ce qui est réellement nécessaire. C'est le seul réflexe à retenir avant de passer aux commandes.
N'activez jamais UFW sans avoir autorisé le port SSH au préalable. Sans cette précaution, vous vous coupez vous-même l'accès au serveur, et il faut alors repasser par la console web pour corriger la situation. C'est l'erreur la plus fréquente sur ce sujet.
Les commandes de base, dans l'ordre
1. Autoriser SSH en premier :
sudo ufw allow 22/tcp
Si votre port SSH a été modifié, remplacez 22 par le port utilisé.
2. Autoriser les ports utiles selon votre usage :
# Un site web
sudo ufw allow 80/tcp
sudo ufw allow 443/tcp
# Un serveur FiveM (exemple)
sudo ufw allow 30120/tcp
sudo ufw allow 30120/udp
# Une base de données, uniquement si un accès externe est nécessaire
sudo ufw allow 3306/tcp
3. Activer UFW (une fois SSH autorisé, pas avant) :
sudo ufw enable
4. Vérifier le statut et les règles actives :
sudo ufw status verbose
Ouvrir une plage de ports
Utile pour un serveur de jeu qui utilise plusieurs ports simultanément :
sudo ufw allow 27000:27050/tcp
Restreindre un port à une IP précise
Plutôt que d'ouvrir un port largement, il est préférable de le restreindre à une IP connue pour un accès admin, une base de données ou un panel :
sudo ufw allow from 203.0.113.42 to any port 3306
C'est le réflexe à privilégier dès qu'il s'agit d'un accès sensible.
Supprimer ou désactiver une règle
Aucune manipulation n'est définitive :
# Supprimer une règle précise
sudo ufw delete allow 3306/tcp
# Désactiver UFW sans supprimer les règles existantes
sudo ufw disable
Les règles restent enregistrées, il suffit de refaire sudo ufw enable pour les réactiver.
Consulter les logs en cas de doute
Si une connexion échoue et que vous cherchez à savoir si UFW en est la cause :
sudo tail -f /var/log/ufw.log
Vous verrez les paquets bloqués en temps réel, ce qui facilite le diagnostic.
Ne fermez pas tous les ports par précaution sans vérifier au préalable ce qui tourne réellement sur le serveur. Un panel, une API ou une base de données distante utilisée au quotidien peut se retrouver bloquée sans prévenir.
UFW ne remplace pas Fail2ban
UFW filtre les ports et détermine ce qui est autorisé à passer. Fail2ban, de son côté, bloque les tentatives de bruteforce en bannissant une IP après plusieurs échecs de connexion. Les deux outils sont complémentaires, pas redondants.
En résumé
Un firewall correctement configuré constitue la base de la sécurité d'un VPS, avant même d'aborder les clés SSH ou Fail2ban. Pour aller plus loin, consultez notre article Sécuriser un VPS qui détaille les bonnes pratiques de sécurité à appliquer sur un serveur.
Notre équipe est disponible sur Discord pour vous accompagner.