Département IEM / UB Eric.Leclercq@u-bourgogne.fr Bureau G212 Aile des Sciences de l Ingénieur Mise-à-jour : décembre 2006

Transcription

1 Licence Pro Réseaux Télécom Systèmes Internet et Intranet pour l entreprise Chapitre II : Adressage et routage Département IEM / UB Eric.Leclercq@u-bourgogne.fr Bureau G212 Aile des Sciences de l Ingénieur Mise-à-jour : décembre 2006 (Département IEM / UB) Adressage et routage 1 / 56

2 Principes fondamentaux de TCP/IP Notion de couches Les couches du modèle OSI et TCP/IP Les protocoles importants de la famille TCP/IP Adressage Codage des adresses Division en classes Classes d adresse particulières Classes d adresses Routage Translation d adresse (NAT) Filtrage Configuration des cartes réseau Configuration d un poste Méthodologie (Département IEM / UB) Adressage et routage 2 / 56

3 Principes fondamentaux de TCP/IP TCP/IP et modèle OSI TCP/IP est suite des protocoles organisés en pile et utilisés par Internet. Le deux protocoles d origine sont (RFC 1122) : TCP (Transmission Control Protocol) IP (Internet Protocol) Le modèle OSI (Open Systems Interconnection) est une vue conceptuelle des protocoles réseau définie par l ISO. Il propose une décomposition des différents protocoles en 7 couches correspondant reflétant les différents niveaux d abstraction des protocoles. (Département IEM / UB) Adressage et routage 3 / 56

4 Principes fondamentaux de TCP/IP Notion de couches Notion de couches Le principe du modèle OSI repose sur le concept d abstration : chaque couche résout un certain nombre de problèmes relatifs à la transmission de données chaque couche defini des services pour les couches supérieures les couches hautes gèrent des données plus abstraites (proche de l utilisateur), en utilisant les services des couches basses la couche 1 émet les données sur le medium physique (Département IEM / UB) Adressage et routage 4 / 56

5 Principes fondamentaux de TCP/IP Notion de couches Les sept couches 1. la couche physique est chargée de la transmission des signaux entre les interlocuteurs c-à-d l émission et la réception d un bit ou d une suite de bits ; 2. la couche liaison de données gère les communications entre 2 machines adjacentes ; 3. la couche réseau gère les communications de bout en bout, généralement entre machines routage et adressage des paquets ; 4. la couche transport gère les communications de bout en bout entre processus du système d exploitation ; 5. la couche session gère la synchronisation des échanges : permet l ouverture et la fermeture de session ; 6. la couche présentation traite du codage des données applicatives (conversion entre données manipulées au niveau applicatif et suites d octets transmises) ; 7. la couche application est le point d accès aux services réseaux, elle n a pas de service propre spécifié dans le modèle. (Département IEM / UB) Adressage et routage 5 / 56

6 Principes fondamentaux de TCP/IP Les couches du modèle OSI et TCP/IP Les couches du modèle OSI (norme complète référence ISO 7498) (Département IEM / UB) Adressage et routage 6 / 56

7 Principes fondamentaux de TCP/IP Les couches du modèle OSI et TCP/IP Les couches du modèle OSI Couches du modèles OSI et couches éléments de la pile de protocoles TCP/IP : (Département IEM / UB) Adressage et routage 7 / 56

8 Principes fondamentaux de TCP/IP Les protocoles importants de la famille TCP/IP Les protocoles importants de la famille TCP/IP Définition (ARP) Le protocole de résolution d adresse (Adress Resoltion Protocol) spécifie comment déterminer l adresse physique (MAC) correspondant à une adresse IP. Il fonctionne au niveau de la couche d accès reseau. La commande arp des SE Unix et Windows permet de manipuler la table de correspondances adresses MAC, adresses IP. Définition (IP) Le protocole IP gère la transmission le routage, la fragmentation et le réassemblage des données au niveau de la couche Internet. (Département IEM / UB) Adressage et routage 8 / 56

9 Principes fondamentaux de TCP/IP Les protocoles importants de la famille TCP/IP Les protocoles importants de la famille TCP/IP Définition (TCP) Le protocole TCP apporte la gestion des session de communication entre application (c-à-d sur un réseau fiable). Il propose un contrôle de flux, la détection et la correction des erreurs au niveau de la couche transport. Définition (UDP) Le protcole UDP (User Datagram Protocol) suuporte les communications entre applications sans connexion au niveau de la couche transport. Les données transmisses ne sont pas contrôlées c est à l application de faire les contrôles. (Département IEM / UB) Adressage et routage 9 / 56

10 Principes fondamentaux de TCP/IP Les protocoles importants de la famille TCP/IP Exemple de datagramme IP < bits > <-4b-> <--8bits--->< bits > Ver IHL TOS Longueur totale Identificateur Fl FO TTL Protocole Somme de ctrl (entête) Adresse Source Adresse Destination Options Données (Département IEM / UB) Adressage et routage 10 / 56

11 Principes fondamentaux de TCP/IP Les protocoles importants de la famille TCP/IP Structure de segment TCP < bits > <-4b-> <-6bits->< bits > Port Source Port Destination Numéro de Séquence Numéro d Acquittement THL Flag Taille Fenêtre Somme de ctrl (message) Pointeur d Urgence Options Données (Département IEM / UB) Adressage et routage 11 / 56

12 Principes fondamentaux de TCP/IP Les protocoles importants de la famille TCP/IP Structure de datagramme UDP < bits > Port Source Port Destination Longueur UDP Somme de ctrl (message) Données (Département IEM / UB) Adressage et routage 12 / 56

13 Adressage Codage des adresses Adressage le protocole TCP/IP utilise des nombres de 32 bits pour adresser les machines (adresse IP) les adresses sont structurées sous la forme de 4 nombres entre 0 à 255 séparès par des points (4 8 bits) on distingue deux parties dans l adresse IP : la partie des nombres à gauche désigne le réseau (on l appelle net-id) la partie des nombres de droite restants désignent les ordinateurs du réseau détermine par net-id (on l appelle host-id) IANA (Internet Assigned Numbers Agency) est chargée d attribuer ces adresses il ne doit pas exister deux ordinateurs joignables sur le réseau ayant la même adresse IP (Département IEM / UB) Adressage et routage 13 / 56

14 Adressage Division en classes Adressage (notion de classe) Définition (classe) Une classe est une subdivision de l espace d adressage l espace d adressage est divisé en une partie pour désigner un réseau et une partie pour les machines de ce réseau (host-id et net-id) plus le nombre de bits réservé au réseau est petit, plus ceux-ci peuvent contenir d ordinateurs Exemple : un réseau noté XYZ peut contenir des ordinateurs dont l adresse IP peut aller de XYZ à XYZ ( = possibilités) (Département IEM / UB) Adressage et routage 14 / 56

15 Adressage Classes d adresse particulières Adressage (adresses particulières) Exemple : un réseau noté XYZ.TUV ne pourra contenir que des ordinateurs dont l adresse IP sera comprise entre XYZ.TUV.0.1 et XYZ.TUV ( =65534 possibilités) Lorsque la partie host-id =0 (lorsque l on remplace les bits réservés aux machines du réseau), on obtient l adresse réseau Exemple : est une adresse réseau on ne peut donc pas l attribuer à un des ordinateurs du réseau Lorsque la partie net-id=0, c est-à-dire lorsque l on remplace les bits réservés au réseau, on obtient ce que l on appelle l adresse machine (dans le réseau). (Département IEM / UB) Adressage et routage 15 / 56

16 Adressage Classes d adresse particulières Adressage (Adresses particulières) Lorsque tous les bits de la partie host-id sont à 1, on obtient l adresse de diffusion (en anglais broadcast), c est-à-dire une adresse qui permettra d envoyer le message à toutes les machines situées sur le réseau spécifié par le net-id. Lorsque tous les bits de la partie net-id sont à 1, on obtient l adresse de diffusion limitée (multicast). L adresse est appelée adresse de boucle locale (loopback) : désigne la machine locale (localhost). (Département IEM / UB) Adressage et routage 16 / 56

17 Adressage Classes d adresses Adressage Classe A Les adresses IP sont réparties en classes définies selon le nombre d octets qui représentent le réseau. Pour une adresse IP de classe A : le premier octet représente le réseau. Le bit de poids fort (le premier bit, celui de gauche) est à zéro, ce qui signifie qu il y a 2 7 ( à ) possibilités de réseaux, soit 128 mais : le réseau 0 ( ) n existe pas et le nombre 127 est réservé pour la machine locale Les réseaux de classe A disponibles sont donc les réseaux allant de à Les trois octets de droite représentant les machines du réseaux, un réseau de classe A peut donc contenir : = ordinateurs. (Département IEM / UB) Adressage et routage 17 / 56

18 Adressage Classes d adresses Adressage Classe B Pour une adresse IP de classe B : les deux premiers octets représentent le réseau. Les deux premiers bits sont 1 et 0, ce qui signifie qu il y a 2 14 ( à ) possibilités de réseaux, soit réseaux possibles. Les réseaux disponibles de classe B sont donc les réseaux allant de à Les deux octets de droite représentant les machines du réseau, le réseau peut donc contenir un nombre de machines égal à : = En binaire, une adresse IP de classe B, a la forme suivante : 10xxxxxx xxxxxxxx xxxxxxxx xxxxxxxx (Département IEM / UB) Adressage et routage 18 / 56

19 Adressage Classes d adresses Adressage Classe C Pour une adresse IP de classe C : les trois premiers octets représentent le réseau. Les trois premiers bits sont 1,1 et 0, ce qui signifie qu il y a 2 21 possibilités de réseaux, c est-à-dire Les réseaux disponibles de classe C sont donc les réseaux allant de à L octet de droite représente les ordinateurs du réseau, le réseau peut donc contenir un nombre de machines égal à : = 254. En binaire, une adresse IP de classe B, a la forme suivante : 110 xxxxx xxxxxxxx xxxxxxxx xxxxxxxx (Département IEM / UB) Adressage et routage 19 / 56

20 Adressage Classes d adresses Masque de sous-réseau Définition (Masque de sous-réseau) Le masque réseau (netmask) est une suite 32 bits présentée généralement sous la forme de 4 octets séparés par des points (comme une adresse IP) dont un certain nombre de bits de poids fort consécutifs sont à 1 et qui sert à délimiter la portion réservée au net-id et celle réservée au host-id On fabrique un masque en plaçant des 1 aux emplacements des bits que l on désire conserver, et des 0 pour ceux que l on veut annuler. Une fois ce masque défini faire un ET logique entre une valeur et le masque afin de garder intacte la partie que l on souhaite et annuler le reste. Un masque de sous-réseau est de permet d identifier simplement le réseau associé à une adresse IP. (Département IEM / UB) Adressage et routage 20 / 56

21 Adressage Classes d adresses Masques des classes usuelles Classe binaire décimal classe A classe B classe C (Département IEM / UB) Adressage et routage 21 / 56

22 Adressage Classes d adresses Découpage des réseaux Il est possible d étendre le masque d une adresse de classe donnée ceci permet de décomposer un réseau donné en sous-réseau : subneting Exemple : subnet d une classe A définie par le masque c-à-d Ce qui donne pour la classe A 38, 4 sous-réseaux : les deux premiers bits du deuxième octet sont 00, le réseau est les deux premiers bits du deuxième octet sont 01, le réseau est les deux premiers bits du deuxième octet sont 10, le réseau est les deux premiers bits du deuxième octet sont 11, le réseau est (Département IEM / UB) Adressage et routage 22 / 56

23 Adressage Classes d adresses Classes d adresses pour les réseaux privés Définies dans la RFC 1918 Utilisées lors de la mise en œuvre d un mécanisme de translation d adresse Classe de jusqu à CIDR classe A /8 classe B /12 classe C /16 Les réseau sont donnés dans la notation CIDR (Classless Inter-Domain Routing) (Département IEM / UB) Adressage et routage 23 / 56

24 Routage La liaison de données sur Ethernet Préambule Destination : adresse Ethernet de destination Source : adresse Ethernet source de la trame Type : type de données transportées Données : taille maximum 1500 octets. Les données sont complétées par des octets de bourrage pour avoir une taille minimum de 46 octets CRC : somme de contrôle sur la trame Les adresses Ethernet sont composées de 8 octets et sont habituellement notées en hexadécimal sous la forme 12 :34 :56 :78 :9a :bc. Les 3 premiers octets de l adresse sont fixes pour un constructeur et les 3 derniers servent à assurer l unicité. (Département IEM / UB) Adressage et routage 24 / 56

25 Routage Princpe du routage La communication entre machines ne peut avoir lieu que lorsque celles-ci connaissent leurs adresses physiques (MAC). Pour envoyer des paquets IP vers les autres noeuds du réseau, un noeud qui utilise TCP/IP traduit les adresses IP de destination en adresses MAC. Quand une machine cherche l adresse physique correspondant à l adresse IP qu il connaît, le protocole ARP se met en œuvre : 1. broadcast sur le réseau en demandant à qui correspond l adresse IP à résoudre (paquet ARP qui contient l adresse IP du destinataire) ; 2. les machines du réseau comparent l adresse demandée à leur adresse et le noeud correspondant renvoie son adresse physique au noeud qui a émis la requête ; 3. stockage de l adresse physique lorsque le destinataire répond dans le cache ARP de la machine (Département IEM / UB) Adressage et routage 25 / 56

26 Routage Principe du routage Lorsque le noeud envoie un autre paquet IP, il cherche l adresse IP dans son cache. S il la trouve, il utilise alors l adresse physique correspondante pour son paquet. Le noeud diffuse une requête ARP seulement s il ne trouve pas l adresse IP dans son cache. Problématique des réseaux à diffusion : nombres de machines (saturation du réseau) segmentation des zones par catégories de service (impossible) comment savoir si une adresse est sur le réseau a diffusion? Équipement de couche 2 et 3. (Département IEM / UB) Adressage et routage 26 / 56

27 Routage Le routage Processus permettant de rediriger les packets vers leur destination Algorithme fonctionnant de proche en proche (autres méthodes?) Utilisation de règles de routage : pour rejoindre le réseau R envoyer les packets à la machine M Il est possible de définir une seule route par défaut Les informations de routage sont stockées dans une table de routage au niveau des données du noyau S il n y a pas de route le SE retourne un message ICMP "network unreachable" (à l envoyeur) (Département IEM / UB) Adressage et routage 27 / 56

28 Routage Table de routage : visualisation Pour afficher la table de routage, on utilise la commande netstat -r sur SysV ou route get sur BSD Exemple : ufrsciencestech: netstat -r -n Kernel IP routing table Destination Gateway Genmask Flags MSS Window irtt Iface U eth U eth UG eth0 depinfo: netstat -rn Routing Table: IPv4 Destination Gateway Flags Ref Use Interface U hme U hme UG U 1 0 hme0 default UG UH lo0 (Département IEM / UB) Adressage et routage 28 / 56

29 Routage Table de routage : exemple Exemple : # route Table de routage IP du noyau Destination Gateway Genmask Indic Metric Ref Use Iface U eth UH eth2 loopback * U lo default UG eth1 ligne 1 : les paquets destinés au réseau seront envoyés sur l interface eth1 à la machine ligne 2 : les paquets destinés à la machine seront envoyés sur l interface eth2 à la machine ligne 3 : Loopack (adresse ) adressage local ligne 4 : routage par défaut des paquets, les paquets seront envoyés sur l interface eth1 à la machine lorsque leur destination est inconnue de la table. (Département IEM / UB) Adressage et routage 29 / 56

30 Routage Table de routage : signification Destination : adresse du réseau ou de l hôte de destination Gateway : adresse de la passerelle (le routeur) ou * si indéfini Genmask : masque de réseau pour le réseau destinataire pour un hôte et pour la route par défaut Indicateurs : U (la route est active = up) H (la cible est un hôte) G (utilise comme passerelle) D (dynamiquement configurée) Metric : distance à la cible (habituellement comptée en hops) Iface : interface vers laquelle les paquets empruntant cette route seront envoyés (Département IEM / UB) Adressage et routage 30 / 56

31 Routage Table de routage : manipulation La table de routage peut être configurée selon deux modes : statique, dynamique Les routes statiques restent dans la table tant que le système est en marche On fixe les routes statiques au boot via des scripts mais nécessite une bonne connaissance de la topologie du réseau Pour manipuler la table de routage, on utilise la commande route Pour le routage dynamique, on utilise des démons qui maintiennent et modifient les tables de routage gated, routed (Département IEM / UB) Adressage et routage 31 / 56

32 Routage Table de routage : syntaxe route add del [-net -host] destination [netmask Nm] [gw gateway] [metric m] [dev itf] add del : permet d ajouter ou supprimer une entrée dans la table -net : permet de spécifier une entrée vers un réseau -host : permet de spécifier une entrée vers une machine destination : la destination peut être une adresse machine ou une adresse réseau. La destination peut être default netmask : le masque de sous-réseau du réseau (ou de la machine) de destination gw : addresse du routeur qui permet de faire transiter les paquets d un réseau à un autre metric : longueur du chemin (en nombre de routeurs traversés) pour atteindre le réseau de destination (optionnel). dev : le nom de l interface par laquelle envoyer les paquets à router (optionnel) (Département IEM / UB) Adressage et routage 32 / 56

33 Routage Table de routage : exemple route add -net r1 netmask lnx2 metric 3 Permet de rajouter une route dans la table de routage : pour atteindre le réseau r1 ( ), il faut passer par la lnx2 ( , qui sert de routeur), et on franchira 3 routeurs au total : r1 est un nom qui doit figurer dans le fichier /etc/networks lnx2 doit figurer ddans le fichier /etc/hosts L option -f (flush) qui permet de supprimer tous les chemins qui ont été rajoutés avec la commande route (Département IEM / UB) Adressage et routage 33 / 56

34 Translation d adresse (NAT) Principes de la translation d adresses Permettre aux machines de réseaux privés de dialoguer sur Internet NAT = Networkd Adress Translation Ce n est pas un mécanisme qui assure la sécurité! Utilisation d un routeur d entrée (border router) Intercepte les packets, les réécrits (adresse source,port) Maintient une table de correspondance entre adresses internes et externes Permet un multiplexage des connections via des correspondances de port Sous linux NAT et ip-masquerading sont synonymes (Département IEM / UB) Adressage et routage 34 / 56

35 Translation d adresse (NAT) Translation d adresses et protocoles CS inversés Tous les protocoles ne supportent pas la translation d adresse Les protocoles pour lesquels le serveur est dans le réseau privé sont mal adaptés à la translation d adresse : affichage X11 FTP Il faut alors un mécanisme supplémentaire capable de suivre une session ou établir un relai (ssh -X, ip_contrack_ftp) Il est préférable de ne pas utiliser X11 sur internet, lui préférer un protocole moins gourmand plus sûre (VNC, ssh) (Département IEM / UB) Adressage et routage 35 / 56

36 Filtrage iptables Un filtre de paquets est un programme qui regarde l en-tête des paquets qui transitent par les cartes réseau et décide du sort du paquet entier. Il peut décider de DROPer le paquet (faire comme si il n avait jamais été reçu), ACCEPTer le paquet (le laisser passer), ou quelque chose de plus sophistiquée (le loguer par exemple). Sous Linux, le filtrage de paquets est intégré dans le noyau sous la forme d un module ou directement dans le code. Le module de filtrage est très complet, il propose un véritable mécanisme de firewall avec états, néanmoins le principe de base reste simple : regarder les en-têtes et décider du sort du paquet. (Département IEM / UB) Adressage et routage 36 / 56

37 Filtrage iptables La commande iptables insère et retire des règles de la table de filtrage des paquets du noyau. Les règles seront perdues au reboot. ## Chaine qui bloque les connections sauf celles qui viennent ## de l intérieur iptables -N block iptables -A block -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A block -m state --state NEW -i! ppp0 -j ACCEPT iptables -A block -j DROP ## Lancer la chaîne block à partir des chaînes INPUT et FORWARD. iptables -A INPUT -j block iptables -A FORWARD -j block (Département IEM / UB) Adressage et routage 37 / 56

38 Filtrage iptables Le noyau contient par défaut trois listes (INPUT, OUTPUT et FORWARD) dans une table nommée filter. Les éléments des listes sont appelés chaînes ou règles. On peut considérer qu une chaîne est une série de règles simples. Chaque règle est une condition que doit satisfaire le paquet, si la règle ne convient pas au paquet, la chaîne suivante est examinée, finalement, si il ne reste plus de chaîne, le noyau regarde la chaîne par défaut pour décider de l action à exécuter. (Département IEM / UB) Adressage et routage 38 / 56

39 Filtrage iptables L enchaînement des trois listes est le suivant : 1. Quand un paquet arrive le noyau regarde en premier la destination de ce paquet (prise en charge). Si le paquet est destiné à la machine il est transmis la chaine INPUT. Si il la passe, les processus qui attendent le paquet le recevront. 2. Si le noyau n a pas de forwarding activé, ou qu il ne sait pas comment forwarder le paquet, le paquet est tué. 3. Si le forwarding est autorisé et que le paquet est destiné à une autre interface réseau, le paquet va directement à la chaine FORWARD. Si il est accepté par une des chaînes, il sera envoyé. 4. Finalement, un programme qui tourne sur la machine peut envoyer des paquets. Ces paquets passeront par la chaine OUTPUT immédiatement : si elle dit ACCEPT, alors le paquet continue vers l interface à laquelle il est destiné. (Département IEM / UB) Adressage et routage 39 / 56

40 Filtrage iptables : les chaînes de base Chaîne Table Description PREROUTING nat, mangle Par cette chaîne passeront les paquets entrant dans la machine avant routage INPUT filter Cette chaîne traitera les paquets entrants avant qu ils ne soient passées aux couches supérieures (les applications). FORWARD filter Ce sont les paquets uniquement transmis par la machine sans que les applications n en aient connaissance. OUTPUT filter, nat, mangle Cette chaîne sera appelée pour des paquets envoyés par des programmes présents sur la machine. POSTROUTING nat Les paquets prêts à être envoyés (soit transmis, soit générés) seront pris en charge par cette chaîne. Action Signification ACCEPT Les paquets envoyés vers cette cible seront tout simplement acceptés et pourront poursuivre leur cheminement au travers des couches réseaux. DROP Cette cible permet de jeter des paquets qui seront donc ignorés. REJECT Permet d envoyer une réponse à l émetteur pour lui signaler que son paquet a été refusé. LOG Demande au noyau d enregistrer des informations sur le paquet courant. Cela se fera généralement dans le fichier /var/log/messages (selon la configuration du programme syslogd). MASQUERADE Cible valable uniquement dans la chaîne POSTROUTING de la table nat. Elle change l adresse IP de l émetteur par celle courante de la machine pour l interface spécifiée. Cela permet de masquer des machines et de faire par exemple du partage de connexion. SNAT Egalement valable pour la chaîne POSTROUTING de la table nat seulement. Elle modifie aussi la valeur de l adresse IP de l émetteur en la remplaçant par la valeur fixe spécifiée. DNAT Valable uniquement pour les chaînes PREROUTING et OUTPUT de la table nat. Elle modifie la valeur de l adresse IP du destinataire en la remplaçant par la valeur fixe spécifiée. RETURN Utile dans les chaînes utilisateurs. Cette cible permet de revenir à la chaîne appelante. Si RETURN est utilisé dans une des chaînes de base précédente, cela est équivalent à l utilisation de sa cible par défaut. (Département IEM / UB) Adressage et routage 40 / 56

41 Filtrage iptables Les principales options d iptables sont : Créer une nouvelle chaine (-N) ou plutôt une liste de chaînes ; Effacer une chaîne (-X) ; Changer la règle par défaut pour une chaîne (-P) ; Lister les règles dans une chaîne (-L) ; Retirer les règles d une chaîne (-F). ; Mettre à zéro les compteurs de bits et de paquets d une chaîne (-Z). (Département IEM / UB) Adressage et routage 41 / 56

42 Filtrage iptables Il y a plusieurs manières de manipuler une règle dans une liste de chaînes : Ajouter une nouvelle règle à une liste (-A) ; Insérer une nouvelle règle à une position dans une liste (-I) ; Remplacer une règle à une position dans une liste (-R) ; Supprimer une chaîne à une position dans une liste (-D) ; Supprimer la première règle qui convient dans une chaine (-D). Les spécifications des règles de filtrage peuvent concerner la source, la destination, un protocole, une interface ou des fragments de paquet. (Département IEM / UB) Adressage et routage 42 / 56

43 Filtrage iptables Les adresses IP source (-s, source ou src) et destination (-d, destination ou dst) peuvent être specifiées de 4 façons : 1. le nom complet, comme localhost ou panda.ville-dijon.fr ; 2. l adresse IP comme ; 3. un groupe d IPs, comme /24 ou / Elles specifient toutes deux les adresses de à inclus. Les nombres après le / indiquent quelle partie des adresses IP a de la signification. /32 ou / est le défaut (correspond à toutes les adresses IP). 4. pour spécifier toutes les adresses IP /0 peut être utilisé, comme dans la règle : iptables -A INPUT -s 0/0 -j DROP (Département IEM / UB) Adressage et routage 43 / 56

44 Filtrage iptables Beaucoup d options comme -s (ou source ) et -d ( destination) peuvent avoir leurs arguments précédés de! (négation) pour correspondre aux adresses différentes égales à celles données. Le! permet donc la négation d une règle. iptables est extensible, ce qui veut dire que le noyau et le programme iptables peuvent être étendus pour avoir de nouvelles capacités. Les extensions au noyau sont normalement situées dans le répertoire des modules du kernel comme /lib/modules/2.x.y/net. Elles sont chargées à la demande. (Département IEM / UB) Adressage et routage 44 / 56

45 Filtrage iptables (Filtrage sur protocole et port) Les options -i (ou in-interface) et -o (ou out-interface) spécifient le nom d une interface à laquelle le paquet doit correspondre. Les paquets qui traversent la chaîne INPUT n ont pas encore d interface de sortie donc, une règle utilisant -o dans cette chaîne n est pas valide. Les paquets traversant la chaîne OUTPUT n ont pas d interface d entrée, donc toute règle utilisant -i dans cette chaîne n est pas valide. Seuls les paquets traversant la chaîne FORWARD ont une interface d entrée et de sortie. (Département IEM / UB) Adressage et routage 45 / 56

46 Filtrage iptables (Filtrage sur protocole et port) Les extensions TCP sont automatiquement chargées si -p tcp est spécifié. tcp-flags : suivi d un! optionnel, ensuite 2 chaînes de caractères permettent de filtrer suivant des drapeaux TCP spécifiques. La première chaîne de drapeaux est le masque : une liste de drapeaux à examiner. La deuxième chaîne de drapeaux dit lequel doit être présent. Par exemple : iptables -A INPUT -p tcp --tcp-flags ALL SYN,ACK -j DENY source-port : suivi d un! optionnel optionnel, ensuite soit un port TCP seul, ou un bloc de ports. Les ports peuvent être des noms de ports, listés dans /etc/services, ou des nombres. sport est synonyme de source-port. destination-port et dport ils spécifient la destination plutôt que la source qui convient. (Département IEM / UB) Adressage et routage 46 / 56

47 Filtrage iptables (Filtrage sur protocole et port) echo 1 > /proc/sys/net/ipv4/ip_forward /sbin/iptables -P INPUT ACCEPT /sbin/iptables -P FORWARD ACCEPT /sbin/iptables -P OUTPUT ACCEPT /sbin/iptables -t nat -P PREROUTING ACCEPT /sbin/iptables -t nat -P POSTROUTING ACCEPT /sbin/iptables -t nat -P OUTPUT ACCEPT /sbin/iptables -F /sbin/iptables -t nat -F /sbin/iptables -A INPUT -i lo -j ACCEPT /sbin/iptables -A OUTPUT -o lo -j ACCEPT /sbin/iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT /sbin/iptables -A FORWARD -i eth0 -o eth1 -j ACCEPT /sbin/iptables -t nat -A POSTROUTING -s /24 -j MASQUERADE #redirection du port 80 pour proxy squid transparent /sbin/iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 \ -j REDIRECT --to-port 3128 (Département IEM / UB) Adressage et routage 47 / 56

48 Filtrage iptables (Filtrage sur protocole et port) echo 1 > /proc/sys/net/ipv4/ip_forward # PARTIE A MODIFIER public=ppp0 prive=eth0 reseauprive=" /24" iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT DROP iptables -F iptables -t nat -F iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT iptables -A OUTPUT -o $public -p tcp --dport http -j ACCEPT iptables -A INPUT -i $public -p tcp --sport http -j ACCEPT iptables -A OUTPUT -o $public -p tcp --dport https -j ACCEPT iptables -A INPUT -i $public -p tcp --sport https -j ACCEPT (Département IEM / UB) Adressage et routage 48 / 56

49 Configuration des cartes réseau Pilote de la carte /sbin/lspci donnera les informations sur les périphériques connectés ls /lib/modules/*/kernel/drivers/net/ : donne la liste des cartes réseau supportées par le noyau de la distribution. S il n y a pas le pilote de la carte recherchée, une recompilation du noyau s impose /sbin/modprobe nompil : chargement du pilote ajouter le nom à /etc/modules (Département IEM / UB) Adressage et routage 49 / 56

50 Configuration des cartes réseau Sous Debian 1. éditer le fichier /etc/network/interface 2. arrêter et redémarrer le réseau : /etc/init.d/networking restart 3. vérifier la configuration : /sbin/ifconfig -a 4. les alias sont permis : eth0 :0, eth0 :1 Exemple : # The loopback interface auto lo iface lo inet loopback # The first network card - this entry was created during the Debian installation # (network, broadcast and gateway are optional) auto eth0 iface eth0 inet static address netmask network broadcast gateway (Département IEM / UB) Adressage et routage 50 / 56

51 Configuration des cartes réseau Sous RedHat 1. éditer le fichier /etc/sysconfig/network 2. éditer le fichier /etc/sysconfig/networking/devices 3. arrêter et redémarrer le réseau : /etc/init.d/network restart 4. vérifier la configuration : /sbin/ifconfig -a Exemple : # 3Com Corporation 3c905C-TX/TX-M [Tornado] DEVICE=eth0 BOOTPROTO=dhcp BROADCAST= HWADDR=00:06:5B:28:07:39 IPADDR= NETMASK= NETWORK= ONBOOT=yes TYPE=Ethernet USERCTL=no PEERDNS=yes GATEWAY= IPV6INIT=no (Département IEM / UB) Adressage et routage 51 / 56

52 Configuration des cartes réseau La commande ifconfig On peut configurer une interface ethernet à la volée avec la commande : ifconfig eth netmask broadcast les options de ifconfig sont : up : activation de l interface, down : désactivation de l interface, [-]arp : activation/désactivation du protocole ARP sur l interface, netmask <addr> : valeur du masque de réseau, broadcast <addr> : valeur de l adresse de diffusion hw? (Département IEM / UB) Adressage et routage 52 / 56

53 Configuration des cartes réseau La résolution des noms la résolution des associations (nom de machine, adresse IP) se fait via 3 fichiers : 1. /etc/hosts : associations nom sur le réseau local, adresse ip dans un fichier texte dont les séparateurs sont l espace ou le tab, le # est réservé pour les commentaires. IPaddress canonical_hostname aliases 2. /etc/resolv.conf : renseigne le système sur l utilisation d un DNS 3. /etc/nsswitch.conf : spécifie les mécanismes à mettre en oeuvre pour la résolution des nom (DNS, files, etc.) (Département IEM / UB) Adressage et routage 53 / 56

54 Configuration des cartes réseau Outils standards pour la résolution des problèmes ifconfig ping(simple + broadcast combiné à arp) arp traceroute nslookup / dig telnet machine port (Département IEM / UB) Adressage et routage 54 / 56

55 Configuration d un poste Étapes de configuration 1. fixer l IP (statique ou via DHCP) 2. renseigner le fichier /etc/hosts et éventuellement le fichier /etc/networks 3. donner la route par défaut ou les autres stratégies de routage 4. configurer la résolution des nom /etc/resolv.conf 5. configurer les stratégies de résolution /etc/nsswitch.conf (Département IEM / UB) Adressage et routage 55 / 56

56 Méthodologie Méthodologie Pour concevoir et implanter un réseau suivre les étapes : définir l architecture fonctionnelle (les services) définir l architecture physique (localiser les service, segmenter le réseau afin d identifier et ou d obtenir différent réseau IP) déterminer un plan d adresse déterminer la table de routage et les règles de filtrage (Département IEM / UB) Adressage et routage 56 / 56