Aller au contenu principal

Configurer UFW - bloquer le superflu sur son VPS

Voici comment mettre en place un firewall basique et fonctionnel sur un VPS fraîchement reçu, en une dizaine de minutes, sans avoir besoin de maîtriser iptables en profondeur.

UFW (Uncomplicated Firewall) est une surcouche simplifiée à iptables, conçue pour configurer un firewall sans se battre avec sa syntaxe native. Présent par défaut sur Debian/Ubuntu, il s'installe sinon en une commande : apt install ufw.

Le principe de base

Tout bloquer en entrée, tout autoriser en sortie, puis n'ouvrir que ce qui est réellement nécessaire. C'est le seul réflexe à retenir avant de passer aux commandes.

À lire avant toute manipulation

N'activez jamais UFW sans avoir autorisé le port SSH au préalable. Sans cette précaution, vous vous coupez vous-même l'accès au serveur, et il faut alors repasser par la console web pour corriger la situation. C'est l'erreur la plus fréquente sur ce sujet.

Les commandes de base, dans l'ordre

1. Autoriser SSH en premier :

sudo ufw allow 22/tcp

Si votre port SSH a été modifié, remplacez 22 par le port utilisé.

2. Autoriser les ports utiles selon votre usage :

# Un site web
sudo ufw allow 80/tcp
sudo ufw allow 443/tcp

# Un serveur FiveM (exemple)
sudo ufw allow 30120/tcp
sudo ufw allow 30120/udp

# Une base de données, uniquement si un accès externe est nécessaire
sudo ufw allow 3306/tcp

3. Activer UFW (une fois SSH autorisé, pas avant) :

sudo ufw enable

4. Vérifier le statut et les règles actives :

sudo ufw status verbose

Ouvrir une plage de ports

Utile pour un serveur de jeu qui utilise plusieurs ports simultanément :

sudo ufw allow 27000:27050/tcp

Restreindre un port à une IP précise

Plutôt que d'ouvrir un port largement, il est préférable de le restreindre à une IP connue pour un accès admin, une base de données ou un panel :

sudo ufw allow from 203.0.113.42 to any port 3306

C'est le réflexe à privilégier dès qu'il s'agit d'un accès sensible.

Supprimer ou désactiver une règle

Aucune manipulation n'est définitive :

# Supprimer une règle précise
sudo ufw delete allow 3306/tcp

# Désactiver UFW sans supprimer les règles existantes
sudo ufw disable

Les règles restent enregistrées, il suffit de refaire sudo ufw enable pour les réactiver.

Consulter les logs en cas de doute

Si une connexion échoue et que vous cherchez à savoir si UFW en est la cause :

sudo tail -f /var/log/ufw.log

Vous verrez les paquets bloqués en temps réel, ce qui facilite le diagnostic.

Erreur fréquente

Ne fermez pas tous les ports par précaution sans vérifier au préalable ce qui tourne réellement sur le serveur. Un panel, une API ou une base de données distante utilisée au quotidien peut se retrouver bloquée sans prévenir.

UFW ne remplace pas Fail2ban

UFW filtre les ports et détermine ce qui est autorisé à passer. Fail2ban, de son côté, bloque les tentatives de bruteforce en bannissant une IP après plusieurs échecs de connexion. Les deux outils sont complémentaires, pas redondants.


En résumé

Un firewall correctement configuré constitue la base de la sécurité d'un VPS, avant même d'aborder les clés SSH ou Fail2ban. Pour aller plus loin, consultez notre article Sécuriser un VPS qui détaille les bonnes pratiques de sécurité à appliquer sur un serveur.

Une question ?

Notre équipe est disponible sur Discord pour vous accompagner.