đŸ”„ DĂ©sactiver complĂštement le firewall sur Linux

Introduction

DĂ©sactiver un firewall sur Linux peut ĂȘtre nĂ©cessaire dans certains cas (diagnostic, environnement de test, debugging rĂ©seau).
Cependant, cette opĂ©ration n’est pas anodine et peut impacter directement la sĂ©curitĂ© et le fonctionnement des services, notamment dans des environnements modernes utilisant la conteneurisation.

Identifier le firewall utilisé

Selon la distribution, plusieurs solutions peuvent ĂȘtre prĂ©sentes :

  • UFW (Ubuntu / Debian)
  • firewalld (RHEL / CentOS / AlmaLinux)
  • iptables / nftables (niveau bas)

DĂ©sactiver UFW (Ubuntu / Debian)

VĂ©rifier le statut

sudo ufw status

Permet de vérifier si UFW est actif sur le systÚme.

DĂ©sactiver le firewall

sudo ufw disable

Désactive immédiatement toutes les rÚgles UFW.

Désactiver au démarrage

sudo systemctl disable ufw

EmpĂȘche le firewall de se relancer automatiquement au boot.

DĂ©sactiver firewalld (RHEL / CentOS)

VĂ©rifier le statut

sudo systemctl status firewalld

Permet de confirmer si le service est actif.

ArrĂȘter le service

sudo systemctl stop firewalld

Stoppe immédiatement le firewall.

Désactiver au démarrage

sudo systemctl disable firewalld

EmpĂȘche firewalld de dĂ©marrer automatiquement.

DĂ©sactiver iptables (niveau bas)

Supprimer toutes les rĂšgles

sudo iptables -F
sudo iptables -t nat -F
sudo iptables -t mangle -F

Supprime l’ensemble des rùgles filtrantes et NAT.

Autoriser tout le trafic

sudo iptables -P INPUT ACCEPT
sudo iptables -P FORWARD ACCEPT
sudo iptables -P OUTPUT ACCEPT

Ouvre complÚtement tous les flux réseau.

⚠ Impact critique avec la conteneurisation

La dĂ©sactivation ou la modification brutale d’iptables peut casser complĂštement le fonctionnement de Docker et des solutions de conteneurisation.

Pourquoi :

  • Docker s’appuie directement sur iptables pour :
    • le NAT (masquerading)
    • le port forwarding
    • l’isolation rĂ©seau entre conteneurs
  • Supprimer les rĂšgles iptables revient Ă  :
    • casser les rĂ©seaux Docker (bridge, overlay)
    • rendre les conteneurs inaccessibles
    • bloquer les communications inter-conteneurs

SymptÎmes fréquents

  • Conteneur accessible en local mais pas depuis l’extĂ©rieur
  • Ports exposĂ©s non fonctionnels (-p 80:80)
  • Erreurs rĂ©seau internes entre services
  • Kubernetes / Docker Swarm instable

Bonne approche

Ne jamais désactiver iptables sur un serveur utilisant Docker en production.

Préférer :

  • ajuster les rĂšgles plutĂŽt que les supprimer
  • utiliser les chaĂźnes Docker (DOCKER, DOCKER-USER)
  • passer par un firewall compatible (firewalld avec zones, UFW configurĂ© correctement)

Vérifier que le firewall est désactivé

UFW

sudo ufw status

Doit afficher « inactive ».

firewalld

sudo systemctl status firewalld

Doit ĂȘtre « inactive » ou « disabled ».

iptables

sudo iptables -L

Doit afficher des rĂšgles vides ou permissives.

Cas d’usage

  • Diagnostic rĂ©seau avancĂ©
  • Test de connectivitĂ©
  • Environnement isolĂ© (lab, VM locale)
  • Debug d’une configuration firewall complexe

Risques majeurs

DĂ©sactiver un firewall expose directement le serveur Ă  Internet.

Impacts possibles :

  • accĂšs non autorisĂ©
  • exploitation de services exposĂ©s
  • scan automatique de ports
  • compromission du systĂšme

Bonnes pratiques

  • Limiter la dĂ©sactivation dans le temps
  • Ne jamais dĂ©sactiver iptables en environnement conteneurisĂ©
  • PrĂ©fĂ©rer une ouverture ciblĂ©e des ports
  • Monitorer les connexions rĂ©seau
  • Documenter les modifications

RĂ©activer le firewall

UFW

sudo ufw enable

RĂ©active le firewall.

firewalld

sudo systemctl start firewalld

Redémarre le service firewall.

Conclusion

La désactivation du firewall sous Linux est une opération utile mais à fort impact.
Elle doit ĂȘtre utilisĂ©e avec prĂ©caution, en particulier sur des infrastructures modernes.

Dans un environnement avec Docker ou Kubernetes, toucher Ă  iptables sans maĂźtrise peut entraĂźner des dysfonctionnements critiques.