Passerelle-Firewall avec Netfilter sous Linux

Save this PDF as:
 WORD  PNG  TXT  JPG

Dimension: px
Commencer à balayer dès la page:

Download "Passerelle-Firewall avec Netfilter sous Linux"

Transcription

1 Passerelle-Firewall avec Netfilter sous Linux Cet article a pour but de vous former à l'installation d'une passerelle sous Linux (kernel 2.4 et 2.6) de façon théorique, avec pour finir quelques exemples pratiques. Nous y installerons aussi un firewall pour compléter notre étude de Netfilter. Une connaissance minimale de l'environnement Linux sera requise mais je pense qu'un débutant pourra aisément s'y retrouver s'il suit à la lettre les explications fournies. La distribution utilisée ne change rien aux mises en pratique, car en faisant abstraction des règles prédéfinies par chaque distribution (ou système d'installation), le principe est le même partout. 27/09/2004 Page 1 sur 22

2 1. Introduction Réseau d'exemple Durant tout cet article, nous nous appuierons sur un réseau local simple connecté à Internet. Il est constitué de 4 machines : - La passerelle/firewall - Le serveur - La station de travail - Le portable Voici la représentation schématique de ce réseau : Nous partons du principe que chaque machine veut se connecter à internet, mais avec des services différents. Le serveur proposera plusieurs services : - FTP - HTTP - SMTP SMTP ne sera accessible qu'à l'intérieur du réseau privé. Ce service doit être inexistant pour les internautes. En revanche, le FTP et le HTTP seront accessibles à tous les internautes (les restrictions se feront au niveau du logiciel serveur lui-même, mais ce n'est pas le sujet de cet article). La passerelle Cette petite machine doit être la seule connectée à internet, pour pouvoir couvrir toutes les autres. Restez conscient que si la passerelle est en panne, il n'y a plus de connexion internet! (ou alors à vos risques et 27/09/2004 Page 2 sur 22

3 périls, car c'est elle qui contiendra le firewall) Comme le montre le schéma, chaque ordinateur voulant se connecter à Internet passe par la passerelle, qui l'autorise ou non. La passerelle reconnaîtra les intervenants grâce aux en-têtes des paquets qu'ils émettent, et fera le filtrage en fonction des adresses IP (entre autres) : L'adresse IP représente celle que votre fournisseur d'accès internet vous attribue. Même si elle est dynamique, la passerelle pourra être fonctionnelle. 27/09/2004 Page 3 sur 22

4 2. Que veut-on? Première approche Avant de nous lancer dans l'écriture des règles et l'étude du fonctionnement de Netfilter, il est bon de faire un petit point sur ce que nous voulons exactement. Nous nous servirons de ce pseudo cahier des charges pour mettre en place le firewall et ses règles de filtrage, ainsi que le partage de connexion restrictif. Partage de connexion et filtrage Nous avons vu précédemment que la passerelle était connectée à deux réseaux : Internet et le réseau privé. Pour pouvoir accéder à Internet depuis l'arrière de la passerelle, il faut que la connexion à Internet de la passerelle soit partagée. Mais nous ne voulons pas que toutes les machines de notre réseau privé puissent accéder à tous les serveurs! C'est pourquoi nous filtrerons les échanges : Voici un exemple de trajet (Workstation -> : 1) Workstation fait une demande à Passerelle pour 2) Passerelle achemine la demande à si il n'y a pas de règle contraire 3) répond à Passerelle 4) Passerelle achemine enfin la réponse vers Workstation Vous pouvez donc interdire l'accès à certains serveurs (adresse IP) ou services (ports), si l'émetteur est telle ou telle machine de votre réseau privé. Filtrage entrant En plus de restreindre l'accès à certains sites depuis votre réseau privé, vous pouvez interdire à certains internautes d'accéder à votre réseau privé. C'est exactement la même démarche que précédemment, mais dans l'autre sens. Récapitulatif Voici ce que nous attendons de notre passerelle : - Permettre au réseau privé d'accéder à Internet - Interdire une machine du réseau privé à se connecter à certains services/serveurs d'internet - Permettre à tous les internautes d'accéder aux services ftp et web de notre serveur 27/09/2004 Page 4 sur 22

5 - Interdire aux internautes d'accéder aux autres PC de notre réseau privé. 27/09/2004 Page 5 sur 22

6 3. Organisation de Netfilter Les hooks Netfilter est constitué de plusieurs hooks (ou noeuds, numérotés sur le schéma ci-dessous de 1 à 5). Chacun des hooks correspond à une partie du trajet d'un paquet traversant le système Netfilter : 1 : NF_IP_PRE_ROUTING (chaîne PREROUTING de la table NAT) 2 : NF_IP_LOCAL_IN (chaîne INPUT de la table FILTER) 3 : NF_IP_FORWARD (chaîne FORWARD de la table FILTER) 4 : NF_IP_POST_ROUTING (chaîne POSTROUTING de la table NAT) 5 : NF_IP_LOCAL_OUT (chaîne OUTPUT de la table FILTER et de la table NAT) Après que la paquet soir passé par PREROUTING, le code de routage permet d'en déterminer la cible : un processus local (cas 1) ou bien une autre interface réseau (cas 2). Dans le premier cas, le paquet passe par INPUT qui se chargera d'accepter ou d'interdire le paquet à atteindre le processus local (ex: apache, vsftpd,...). Dans le second cas, le paquet passe par FORWARD qui autorisera ou non le paquet à continuer son chemin (à travers la machine). POSTROUTING est la dernière étape avant de sortir : les paquets passés par FORWARD y sont refiltrés, ainsi que ceux générés par un processus local. OUTPUT traite les paquets directement générés par un processus local. Les tables Les tables sont des regroupements de chaînes classés par "thème". Nous allons nous intéresser à deux tables : NAT et FILTER. - Filter est la table par défaut. Ses chaînes permettent de filtrer les paquets entrant dans la machine, sortant de la machine et traversant la machine. - La table nat effectue une translation d'adresse quand un paquet créant une nouvelle connexion est détecté, pour agir sur tous les futurs paquets de la connexion. Les chaînes Les chaînes sont des regroupements de règles (ou règles en chaîne). A chaque hook est greffé une ou plusieurs chaînes. 27/09/2004 Page 6 sur 22

7 Voici les chaînes que nous allons étudier : FILTER : INPUT : Paquets destinés à un processus local. OUTPUT : Paquets générés localement. FORWARD : Paquets traversant la machine. NAT : PREROUTING : Paquets entrants, avant le routage. POSTROUTING : Paquets sortants, après le routage. OUTPUT : Paquets générés localement. Les cibles Quand un paquet répond à certains critères, on peut le manipuler de différentes façons. Voici les principales cibles : - L'accepter (ACCEPT) pour qu'il poursuive son chemin - Le bloquer sans en avertir l'expéditeur (DROP) - Le stopper (REJECT) en envoyant un message d'erreur ICMP à l'expéditeur Les règles Toute cette architecture est faite pour organiser les règles que VOUS allez écrire. Comme nous sommes censés travailler sur un Linux 2.4 ou plus, c'est la commande "iptables" (dans /sbin/ le plus souvent) qui va être utilisée. Chaque chaîne peut contenir un grand nombre de règles, ce qui vous permettra de faire un filtrage des plus précis. Iptables en bref 27/09/2004 Page 7 sur 22

8 La description détaillée d'iptables est gigantesque, et dépasse le thème de cet article. Cependant, vous devez connaître les principales opérations. -t <table></table> Opérer dans la table spécifiée Commandes -L Lister les chaînes et leurs règles -N <nom_chaine> Créer une nouvelle chaîne dont le nom est passé en argument -P <chaine> <cible> Définir la politique (cible) par défaut de la chaîne spécifiée -I <chaine> [<n>] <regle> Ajouter la règle à l'emplacement "n" de la chaîne (emplacement 1 par défaut) -A <chaine> <regle> Ajouter la règle donnée à la fin de la chaîne -R <chaine> [<n>] <regle> Remplacer la règle numéro "n" dans chaine par regle -D <chaine> <n> Supprimer la règle numéro "n" dans chaine -F [<chaine>] Suppression des règles de la chaîne spécifiée (ou de toutes les règles si aucune n'est spécifiée) -X [<chaine>] Suppression de la chaîne spécifiée (ou de toutes les chaînes si aucune n'est spécifiée), hormis les chaînes prédéfinies. -E <chaine> <nom> Renommer une chaîne que vous avez créé. Paramètres -p <protocol> Protocole répertorié dans /etc/protocols (ex: http) -s <source> Source du paquet (adresse IP ou nom) -d <destination> Destination du paquet (adresse IP ou nom) -j <cible> Indique que faire du paquet s'il correspond aux spécifications de la règle (ex: ACCEPT) -i <interface> Interface réseau d'entrée du paquet (ex: eth0) -o <destination> Interface réseau de sortie du paquet (ex: eth1) Je vous encourage fortement à lire la page de man d'iptables, c'est indispensable pour une bonne 27/09/2004 Page 8 sur 22

9 compréhension de ce qui suit. 27/09/2004 Page 9 sur 22

10 4. Partage de connexion Préparatifs Avant d'entrer dans le vif du sujet, nous devrons préparer le terrain... La passerelle : Pour que Linux laisse passer des paquets à travers le système de filtrage, il faut l'en autoriser explicitement, en écrivant "1" dans le fichier virtuel /proc/sys/net/ipv4/ip_forward : echo 1 > /proc/sys/net/ipv4/ip_forward On initialise quelques variables : # Commandes IPTABLES=/sbin/iptables MODPROBE=/sbin/modprobe # Interfaces IF_INTERNET=eth1 IF_PRIVATE=eth0 # Adresses IP IP_INTERNET= IP_PRIVATE_GATEWAY= IP_PRIVATE_WORKSTATION= IP_PRIVATE_SERVER= IP_PRIVATE_PORTABLE= Dans certains cas il est nécessaire de charger les modules de netfilter. Si vous avez compilé votre noyau avec netfilter en Y (intégré) et non en M (module), netfilter sera directement disponile. Sinon, vous trouverez dans le répertoire /lib/modules/<kernelversion>/kernel/net/ipv4/netfilter tous les modules nécessaires. Pour les charger au moment de l'exécution de notre script : $MODPROBE ip_tables $MODPROBE <nom_du_module>... Pour vider les éventuelles chaînes prédéfinies ou supprimer les anciennes règles : # Nettoyage de la table nat $IPTABLES -t nat -F $IPTABLES -t nat -X # Nettoyage de la table filter $IPTABLES -F $IPTABLES -X Pour l'instant, nous ne nous occupons pas de la sécurité et du filtrage, donc nous acceptons tout le trafic. Pour cela, il faut définir la police par défaut (la cible) de chaque chaîne à "ACCEPT" : # Police par défaut de la table filter $IPTABLES -P INPUT ACCEPT $IPTABLES -P FORWARD ACCEPT $IPTABLES -P OUTPUT ACCEPT # Police par défaut de la table nat $IPTABLES -t nat -P PREROUTING ACCEPT $IPTABLES -t nat -P POSTROUTING ACCEPT $IPTABLES -t nat -P OUTPUT ACCEPT 27/09/2004 Page 10 sur 22

11 Pas de panique, au chapitre suivant nous mettrons notre chaîne FORWARD en DROP par défaut, et nous commencerons à écrire le firewall! Avec ceci tout est vide. Voici ce que renvoie un listage : sbin]#./iptables -t nat -L Chain PREROUTING (policy ACCEPT) target prot opt source destination Chain POSTROUTING (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination sbin]#./iptables -L Chain INPUT (policy ACCEPT) target prot opt source destination Chain FORWARD (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination Nous en avons enfin fini avec la passerelle! Les autres machines : Pour que les machines du réseau privé passent automatiquement par la passerelle, il faut l'ajouter à leur "route" par défaut : /sbin/route add default gw netmask Autre possibilité, on peut éditer /etc/sysconfig/network-scripts/ifcfg-ethx sous RedHat en ajoutant la ligne : GATEWAY=" " Sous gentoo, /etc/conf.d/net : gateway="ethx/ " Sous debian, /etc/network/interfaces dans la section décrivant ethx : gateway Sous Windows, ouvrir les propriétés de la connexion réseau local, et configurer le protcole TCP/IP avec en tant que passerelle par défaut. Le NAT Vulgairement, on peut dire que le NAT permet de changer l'adresse de destination ou de source des paquets qui traversent le routeur. On distingue donc 2 sortes de NAT : - SNAT (Source NAT ou Masquerading dans certains cas) - DNAT (Destination NAT) Le NAT de source est mis en application après le routage (c'est donc la chaîne POSTROUTING qui s'en occupe) et va changer ou non l'adresse IP source du paquet selon les règles que vous avez écrites. Le NAT de destination est appliqué avant le routage (chaîne PREROUTING) pour changer l'adresse IP de destination du paquet. 27/09/2004 Page 11 sur 22

12 Mais à quoi sert donc la chaîne OUTPUT de la table NAT? Elle vous permettra de manipuler les paquets sortants générés par des processus locaux, avant qu'ils ne soient routés. SNAT Nous traiterons les deux possibilités de SNAT qu'offre Netfilter : le SNAT classique, et le SNAT simplifié, souvent appelé Masquerading. Avec une adresse IP fixe Si l'adresse IP que votre FAI vous attribue est fixe, un simple SNAT suffira : # SNAT # Dans la table NAT (-t nat), ajouter à la chaîne POSTROUTING (-A POSTROUTING) # une règle qui effectue un SNAT (-j SNAT) # sur ce qui sort par l'interface Internet (-o $IF_INTERNET) # en donnant l'ip Internet comme adresse source (--to $IP_INTERNET) $IPTABLES -t nat -A POSTROUTING -o $IF_INTERNET -j SNAT --to $IP_INTERNET Cette règle donnera à tous les paquets provenant de eth0 en direction d'internet l'adresse comme source. Ceci est indispensable dans la mesure où les paquets provenant de l'arrière de la passerelle ont une IP source entre et Il faut donc transformer ces adresses privées en l'adresse publique, pour que les serveur d'internet puissent nous répondre. Avec une adresse IP dynamique Le Masquerading permet de faire du SNAT sans adresse IP explicite. C'est le système qui se chargera de trouver l'adresse IP de l'interface donnée : # Masquerading # Dans la table NAT (-t nat), ajouter à la chaîne POSTROUTING (-A POSTROUTING) # une règle qui effectue un Masquerading (-j MASQUERADE) # sur tout ce qui sort par l'interface Internet (-o $IF_INTERNET) $IPTABLES -t nat -A POSTROUTING -o $IF_INTERNET -j MASQUERADE Avec le SNAT classique, vous pouvez donner n'importe quelle adresse IP source à vos paquets, mais l'intérêt est limité (à part pour quelques casseurs qui aiment les DoS...) car les réponses ne vous reviendront pas. Pour une utilisation classique, le Masquerading est plus avantageux car il détecte automatiquement l'adresse IP à appliquer. DNAT Le DNAT est très utile, vous pourrez rediriger les paquets entrant par la passerelle vers n'importe quelle adresse IP et sur n'importe quel port d'une machine de votre réseau. Comme nous avons un serveur http à l'intérieur de notre réseau privé, la passerelle devra y acheminer quelques connexions : 27/09/2004 Page 12 sur 22

13 L'aventure d'une création de connexion sur le serveur http : 1. L'internaute nous envoie un paquet demandant une connexion sur le port 80. source : <internaute>:3309 destination : :80 2. La passerelle change la destination du paquet en source : <internaute>:3309 destination : :80 3. Le serveur http génère un paquet de réponse destiné à l'internaute source : :80 destination : <internaute>: La passerelle effectue un SNAT ou Masquerading pour changer la source en source : :80 destination : <internaute>: /09/2004 Page 13 sur 22

14 Voici maintenant la règle qui permet de faire cette prouesse : # DNAT # Dans la table NAT (-t nat), ajouter à la chaîne PREROUTING (-A PREROUTING) # une règle qui effectue un DNAT (-j DNAT) # sur tout ce qui entre par l'interface Internet (-i eth1) # sur le port 80 (--dport 80) # en protole tcp (-p tcp) # pour rediriger le paquet vers port 80 (--to :80) $IPTABLES -t nat -A PREROUTING -p tcp --dport 80 -i eth1 -j DNAT --to :80 ou, en substituant les numéros de port par le nom du service : $IPTABLES -t nat -A PREROUTING -p tcp --dport http -i eth1 -j DNAT --to :http Exemples concrets Nous nous servirons de la commande : iptables -t nat -L -v qui permet de lister les chaînes de la table nat avec un affichage "verbose" (complet). Nous verrons entre autres combien de paquets et combien d'octets nos règles ont laissé passer, logué, ou arrêté. Ou plutôt le nombre de paquets que ACCEPT a laissé passer, car c'est la seule cible que nous ayons utilisé jusqu'à maintenant. Essayons de pinger depuis la machine workstation : $ ping -c PING ( ) 56(84) bytes of data. 64 bytes from : icmp_seq=1 ttl=59 time=52.5 ms ping statistics packets transmitted, 1 received, 0% packet loss, time 0ms rtt min/avg/max/mdev = /52.508/52.508/0.000 ms Revenons maintenant sur notre passerelle : #./iptables -t nat -L -v Chain PREROUTING (policy ACCEPT 1 packets, 84 bytes) pkts bytes target prot opt in out source destination Chain POSTROUTING (policy ACCEPT 1 packets, 84 bytes) pkts bytes target prot opt in out source destination Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination # /sbin/iptables -L -v Chain INPUT (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination Chain FORWARD (policy ACCEPT 1 packets, 84 bytes) pkts bytes target prot opt in out source destination Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes) pkts bytes target prot opt in out source destination Comme prévu, 3 chaînes ont été mises en oeuvre : - PREROUTING accueille le paquet sur l'interface eth0 et l'accepte - FORWARD le transfert vers eth1 27/09/2004 Page 14 sur 22

15 - POSTROUTING accepte de faire partir le paquet en direction du web depuis eth1. Voici le script complet contenant les règles nécessaires au partage de connexion : 1 # Activation du forward 2 echo 1 > /proc/sys/net/ipv4/ip_forward 3 4 ############# 5 # Variables # 6 ############# 7 8 # Commandes 9 IPTABLES=/sbin/iptables 10 MODPROBE=/sbin/modprobe # Interfaces 13 IF_INTERNET=eth1 14 IF_PRIVATE=eth # Adresses IP 17 IP_INTERNET= IP_PRIVATE_GATEWAY= IP_PRIVATE_WORKSTATION= IP_PRIVATE_SERVER= IP_PRIVATE_PORTABLE= ######################### 24 # Chargement de modules # 25 ######################### $MODPROBE ip_tables 28 $MODPROBE iptable_filter 29 $MODPROBE iptable_nat 30 $MODPROBE ipt_masquerade ################## 33 # Initialisation # 34 ################## # Nettoyage de la table nat 37 $IPTABLES -t nat -F 38 $IPTABLES -t nat -X sharedconnection.sh 27/09/2004 Page 15 sur 22

16 39 40 # Nettoyage de la table filter 41 $IPTABLES -F 42 $IPTABLES -X # Police par défaut de la table filter 45 $IPTABLES -P INPUT ACCEPT 46 $IPTABLES -P FORWARD ACCEPT 47 $IPTABLES -P OUTPUT ACCEPT # Police par défaut de la table nat 50 $IPTABLES -t nat -P PREROUTING ACCEPT 51 $IPTABLES -t nat -P POSTROUTING ACCEPT 52 $IPTABLES -t nat -P OUTPUT ACCEPT ######################## 55 # Partage de connexion # 56 ######################## # Masquage d'adresse pour les paquets allant vers l'internet 59 $IPTABLES -t nat -A POSTROUTING -o $IF_INTERNET -j MASQUERADE # Redirection vers le serveur http $IPTABLES -t nat -A PREROUTING -p tcp --dport http -i $IF_INTERNET -j DNAT --to :http 27/09/2004 Page 16 sur 22

17 5. Configuration du Firewall Introduction Si nous laissions notre configuration actuelle en fonctionnement, tout le trafic serait accepté. Pour éviter les éventuelles attaques ("éventuelles" est un mot léger), il faut absolument mettre en place des règles destinées à appliquer un filtrage des paquets. La première chose à faire est de changer la police par défaut des chaînes de la table filter : $IPTABLES -P INPUT DROP $IPTABLES -P OUTPUT DROP $IPTABLES -P FORWARD DROP Avec ces 3 commandes, tout les paquets seront dropés. Essayez de faire un ping depuis n'importe quelle machine vers la passerelle : sbin]# ping -c PING ( ) 56(84) bytes of data ping statistics packets transmitted, 0 received, 100% packet loss, time 0ms Vous remarquerez que le ping n'aboutit pas car par définition DROP n'envoie aucun message comme quoi la connexion est refusée. Cette cible se contente d'oublier le paquet. Cependant, du côté de la passerelle, le ping a laissé une petite trace : sbin]#./iptables -L -v Chain INPUT (policy DROP 1 packets, 84 bytes) pkts bytes target prot opt in out source destination Chain FORWARD (policy DROP 0 packets, 0 bytes) pkts bytes target prot opt in out source destination Chain OUTPUT (policy DROP 0 packets, 0 bytes) pkts bytes target prot opt in out source destination Avec une telle configuration, aucun paquet ne sera accepté par la passerelle, qui est désormais comparable à un trou noir! Théoriquement, vous ne vous servirez pas directement de votre passerelle pour naviguer sur le web ou visiter des sites ftp, donc c'est bien ce qui nous faut. Mais comme vous vous servez de cette passerelle pour accéder au web depuis d'autres machines, il faut que cette dernière laisse passer les paquets entre les deux interfaces. Vous l'aurez compris, il faut placer nos règles de filtrage dans la chaîne FORWARD de la table filter. Pour éclaircir les règles, un code de couleurs a été adopté dans les exemples suivants : ### : La chaîne contenant la règle ### : Ce qui concerne le trajet du paquet ### : Description du protocole et du port utilisé ### : La cible du paquet correspondant à la règle ### : Etat de la connexion Modèle client Pour autoriser la machine Workstation à surfer sur le web, nous devons l'autoriser à créer de nouvelles connexions sur les ports 80 (en TCP) d'internet. $IPTABLES -A FORWARD -i $IF_PRIVATE -o $IF_INTERNET -s $IP_WORKSTATION -p tcp --dport http -j 27/09/2004 Page 17 sur 22

18 ACCEPT Voici les paquets qu'autorise cette règle : - interface d'entrée : Réseau privé - interface de sortie : Internet - machine source : Workstation - protocole : TCP - service de destination : http $IPTABLES -A FORWARD -i $IF_INTERNET -o $IF_PRIVATE -d $IP_WORKSTATION -p tcp --sport http -m state --state RELATED,ESTABLISHED -j ACCEPT - interface d'entrée : Internet - interface de sortie : Réseau privé - machine de destination : Workstation - protocole : TCP - service source : http - état de la connexion : déjà établie ou en relation avec une autre Le modèle ci-dessus (avec le port 80) pourra être recopié pour beaucoup d'autres services : HTTPS, SMTP, POP, SSH... en tant que client. Modèle serveur Note serveur Web doit accepter les connexions sur le port 80 : $IPTABLES -A FORWARD -i $IF_PRIVATE -o $IF_INTERNET -s $IP_SERVER -p tcp --sport http -j ACCEPT - interface d'entrée : Réseau privé - interface de sortie : Internet - machine de source : Server - protocole : TCP - service source : http $IPTABLES -A FORWARD -i $IF_INTERNET -o $IF_PRIVATE -d $IP_SERVER -p tcp --dport 80 -m state --state!invalid -j ACCEPT - interface d'entrée : Internet - interface de sortie : Réseau privé - machine de destination : Server - protocole : TCP - service de destination : http - état de la connexion : valide Le modèle ci-dessus (avec le port 80) pourra être recopié pour beaucoup d'autres services : HTTPS, SMTP, POP, SSH... en tant que serveur. Le cas du FTP Le protocole FTP est un peu spécial, car il peut être utilisé en deux modes : Actif et Passif. Actif En utilisant ce mode, la configuration côté client est très simple! Sachant que le FTP utilise les ports 21 et 20, il faudra y accepter le trafic. La connexion s'initialise sur le port 21 et les commandes y sont envoyées. Pour le transfert des données, le transit se fera sur le port 20 une fois la connexion établie. ftp correspond au port 21, et ftp-data au port 21. $IPTABLES -A FORWARD -i $IF_PRIVATE -o $IF_INTERNET -s $IP_WORKSTATION -p tcp --dport ftp -m state --state NEW,ESTABLISHED -j ACCEPT 27/09/2004 Page 18 sur 22

19 $IPTABLES -A FORWARD -i $IF_PRIVATE -o $IF_INTERNET -s $IP_WORKSTATION -p tcp --dport ftp-data -m state --state ESTABLISHED -j ACCEPT $IPTABLES -A FORWARD -i $IF_INTERNET -o $IF_PRIVATE -d $IP_WORKSTATION -p tcp --sport ftp -m state --state ESTABLISHED -j ACCEPT $IPTABLES -A FORWARD -i $IF_INTERNET -o $IF_PRIVATE -d $IP_WORKSTATION -p tcp --sport ftp-data -m state --state ESTABLISHED,RELATED -j ACCEPT Pour le serveur, il n'y a plus qu'à inverser le sens : $IPTABLES -A FORWARD -i $IF_PRIVATE -o $IF_INTERNET -s $IP_SERVER -p tcp --sport ftp -j ACCEPT $IPTABLES -A FORWARD -i $IF_PRIVATE -o $IF_INTERNET -s $IP_SERVER -p tcp --sport ftp-data -m state --state RELATED,ESTABLISHED -j ACCEPT $IPTABLES -A FORWARD -i $IF_INTERNET -o $IF_PRIVATE -d $IP_SERVER -p tcp --dport ftp -m state --state ESTABLISHED -j ACCEPT $IPTABLES -A FORWARD -i $IF_INTERNET -o $IF_PRIVATE -d $IP_SERVER -p tcp --dport ftp-data -m state --state ESTABLISHED -j ACCEPT On remarque que le FTP actif est comparable aux protocoles que nous avons utilisé plus haut, donc aucune difficulté n'est à noter. Cependant, on utilise deux ports... Passif Le mode passif nécessite un petit ajout car le port de données est aléatoire : on ne sait pas à l'avance quel port ouvrir! Tout ce qu'on sait, c'est que le port est automatiquement supérieur au Il existe un module, ip_conntrack_ftp, qui permet d'ouvrir le port de données au moment voulu. $MODPROBE ip_conntrack_ftp $IPTABLES -A FORWARD -i $IF_INTERNET -o $IF_PRIVATE -d $IP_WORKSTATION -p tcp --sport 1024: --dport 1024: -m state --state ESTABLISHED -j ACCEPT $IPTABLES -A FORWARD -i $IF_PRIVATE -o $IF_INTERNET -s $IP_WORKSTATION -p tcp --dport 1024: --sport 1024: -m state --state ESTABLISHED,RELATED -j ACCEPT Maintenant que vous avez tout compris, je vous laisse le plaisir d'écrire les règles qui autoriseront les internautes à utiliser le mode passif avec votre serveur FTP! A titre d'indice : $IPTABLES -A FORWARD -i $IF_INTERNET -o $IF_PRIVATE -d $IP_SERVER -p tcp --sport 1024: --dport 1024: -m state --state ESTABLISHED -j ACCEPT $IPTABLES -A FORWARD -i $IF_PRIVATE -o $IF_INTERNET -s $IP_SERVER -p tcp --dport 1024: --sport 1024: -m state --state ESTABLISHED,RELATED -j ACCEPT ip_conntrack_irc permet de gérer le protocole IRC, qui se comporte à peu près comme le ftp passif. Je vous laisse trouver la solution! 27/09/2004 Page 19 sur 22

20 6. Installer une DMZ La DMZ Comme vous le savez, notre réseau est censé contenir un serveur accessible depuis l'extérieur. Pour que les internautes puissent accéder aux services qu'il propose, plusieurs ports sont ouverts, ce qui rend la machine plus vulnérable. En effet, un pirate pourrait prendre le contrôle du serveur, et comme celui-ci est à l'intérieur du réseau privé, il a accès à toutes les autres machines! Ce scénario catastrophe va nous inciter à isoler le serveur dans ce que l'on appelle une Zone démilitarisée (DMZ pour "De-Militarized Zone") : L'intérêt d'un tel dispositif est que notre passerelle filtre maintenant les échanges entre le serveur et les deux autres machines du réseau privé. Cela permet d'écrire des règles spécifiques à la passerelle (interface eth1) et en restreindre les droits d'accès vis-à-vis des autres machines du réseau privé. Comme notre serveur ne sert que de serveur, tout ce qu'il pourra faire c'est répondre aux requêtes de nos machines, car elles doivent pouvoir accéder à quelques uns de ses services sinon tous. Mise en application Si vous vous souvenez de notre script de partage de connexion, vous remarquerez qu'il y a quelques modifications à apporter au niveau des variables : # Interfaces IF_INTERNET=eth2 IF_DMZ=eth1 IF_PRIVATE=eth0 # Adresses IP IP_INTERNET= IP_DMZ_GATEWAY= IP_DMZ_SERVER= IP_PRIVATE_GATEWAY= IP_PRIVATE_WORKSTATION= IP_PRIVATE_SERVER= /09/2004 Page 20 sur 22

21 IP_PRIVATE_PORTABLE= et sur le serveur : route add default gateway Nous pouvons maintenant considérer que nous avons 3 réseaux distincts : DMZ, Internet et Privé. Il ne vous reste plus qu'à écrire des règles de filtrage classiques pour sécuriser au maximum les machines du réseau privé. Le plus judicieux serait d'être aussi exigeant que pour Internet, en autorisant uniquement l'accès aux services que doit fournir le serveur. Pour cela vous n'avez qu'à recopier les règles que nous voyions précédemment en changeant les interfaces et les IP. En imaginant que vous possédiez un serveur pour chaque service, la DMZ contiendra plusieurs machines : N'oubliez pas que nos trois réseaux communiquent ensemble, et que tout le traffic passe par la passerelle! Avec cette architecture, on se rapproche plus de la stratégie d'entreprise /09/2004 Page 21 sur 22

22 7. Conclusions Conception Comme vous avez pu le remarquer, la conception d'un réseau demande une parfaite connaissance de ses besoins, dépend du nombre de machines et de votre niveau de paranoïa... mais aussi du budget! Dernières recommandations Ce qu'il faut retenir, c'est que vous ne serez jamais trop protégé (ne jamais penser "de toutes façons qui viendra m'attaquer?") et que la passerelle doit être une machine totalement dédiée à sa fonction. En effet, le fait de démarrer des services sur la passerelle serait très dangereux, car si l'intrus prend le contrôle de la passerelle, il aura un accès illimité au réseau privé... Si vous devez installer un serveur SSH sur la passerelle, pensez à en interdire l'accès depuis le web grâce au firewall! Copyright 2004 Patrice Blanchardie. Permission est donnée de distribuer, copier et/ou modifier des copies de ce document provenant de sous les termes de la GNU FDL. 27/09/2004 Page 22 sur 22

Sommaire. Reseau secu murdefeu

Sommaire. Reseau secu murdefeu Reseau secu murdefeu Sommaire Mur pare feu pas à pas...1 Introduction...1 On commence...1 Politique par défaut...1 Les règles locales...2 Suivre son mur pare feu...2 Partager la connexion...2 Autoriser

Plus en détail

Formation Iptables : Correction TP

Formation Iptables : Correction TP Table des matières 1.Opérations sur une seule chaîne et sur la table filter:...2 2.Opérations sur plusieurs chaînes et sur la table filter:...5 3.Opérations sur plusieurs chaires et sur plusieurs tables

Plus en détail

Sécurité GNU/Linux. Iptables : passerelle

Sécurité GNU/Linux. Iptables : passerelle Sécurité GNU/Linux Iptables : passerelle By sharevb Sommaire I.Rappels...1 a)les différents types de filtrages : les tables...1 b)fonctionnement de base : les chaînes et les règles...1 II.La table nat

Plus en détail

TP4 : Firewall IPTABLES

TP4 : Firewall IPTABLES Module Sécurité TP4 : Firewall IPTABLES Ala Rezmerita François Lesueur Le TP donnera lieu à la rédaction d un petit fichier texte contenant votre nom, les réponses aux questions ainsi que d éventuels résultats

Plus en détail

FILTRAGE de PAQUETS NetFilter

FILTRAGE de PAQUETS NetFilter TP RESEAUX MMI Semestre 3 FILTRAGE de PAQUETS NetFilter OBJECTIF : Introduction à Netfilter. Configuration d'un firewall. MATERIELS : (Machines Virtuelles) 1 Serveur Debian avec apache d'installé, 1 Poste

Plus en détail

Configurer un pare-feu avec NETFILTER

Configurer un pare-feu avec NETFILTER Configurer un pare-feu avec NETFILTER Netfilter est le firewall des distributions linux récentes pris en charge depuis les noyaux 2.4. Il est le remplaçant de ipchains. La configuration se fait en grande

Plus en détail

Iptables. Table of Contents

Iptables. Table of Contents Iptables Stéphane Salès s.sales@tuxz.org Table of Contents 1.TP IPTABLES 2 1.1.Opérations sur une seule chaîne et sur la table filter: 2 1.1.1.paramètre protocole 2 1.1.2.paramètre source 2 1.1.3.chaîne

Plus en détail

Traduction d adresse Filtrage

Traduction d adresse Filtrage 2ème année 2005-2006 Filtrage Janvier 2006 Objectifs : La traduction d adresse (réseau) consiste à modifier des paquets IP afin de faire croire à une partie du réseau qu ils ont été émis par (ou à destination

Plus en détail

UE31 - M3102 : Services Réseaux

UE31 - M3102 : Services Réseaux UE31 - M3102 : Services Réseaux Corrigé du TP 4 NAT/PAT, Pare-Feu C. Pain-Barre 1 Simulateur : Nat/Pat et firewall Corrigé de l exercice 1 (Simulation Nat/Pat et firewall) Les fichiers xml contenant les

Plus en détail

Fixer les règles de départ

Fixer les règles de départ iptables F iptables -X iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP iptables -t mangle F iptables -t mangle -X iptables -t mangle -P PREROUTING ACCEPT iptables -t mangle -P INPUT

Plus en détail

Mise en place d une Zone démilitarisée

Mise en place d une Zone démilitarisée BTS SIO Mise en place d une Zone démilitarisée Gabin Fourcault BTS SIO Mise en place d une DMZ Table des matières Contexte... 2 Architecture à réaliser... 3 Comment mettre en place cette architecture?...

Plus en détail

Iptables. Nat : Cette table effectue le masquerading. Elle est constituée de trois chaînes internes : PREROUTING, OUTPUT et POSTROUTING..

Iptables. Nat : Cette table effectue le masquerading. Elle est constituée de trois chaînes internes : PREROUTING, OUTPUT et POSTROUTING.. I) Introduction : Il existe trois tables : Filter : C est la table par défaut qui permet le filtrage des paquets. Elle ne modifie pas le contenu des paquets. Elle est constituée de trois chaînes : INPUT,

Plus en détail

TP Linux : Firewall. Conditions de réalisation : travail en binôme. Fonctionnement du parefeu Netfilter. I Qu est ce qu'un firewall?

TP Linux : Firewall. Conditions de réalisation : travail en binôme. Fonctionnement du parefeu Netfilter. I Qu est ce qu'un firewall? TP Linux : Firewall Objectif : Réaliser un firewall simple par filtrage de paquet avec iptables sous Linux Matériel : 1 serveur Linux S configuré en routeur entre le réseau du lycée qui représentera le

Plus en détail

TP SECU NAT ARS IRT 2010 2011 ( CORRECTION )

TP SECU NAT ARS IRT 2010 2011 ( CORRECTION ) TP SECU NAT ARS IRT 2010 2011 ( CORRECTION ) Présentation du TP le firewall sera une machine virtuelle sous Devil Linux le firewall a deux cartes réseaux eth0 ( interface externe ) et eth1 (interface interne)

Plus en détail

UE31 - M3102 : Services Réseaux

UE31 - M3102 : Services Réseaux UE31 - M3102 : Services Réseaux Enoncé du TP 4 NAT/PAT, Pare-Feu C. Pain-Barre Table des matières 1 Simulation PAT et pare-feu sans état 2 Exercice 1 (Lancement d une VM XP pour le simulateur).........................

Plus en détail

Comprendre le fonctionnement d un firewall et d une DMZ ; Étudier les règles de filtrage et de translation entre réseaux privées et public.

Comprendre le fonctionnement d un firewall et d une DMZ ; Étudier les règles de filtrage et de translation entre réseaux privées et public. TP 8.1 ÉTUDE D UN FIREWALL OBJECTIFS Comprendre le fonctionnement d un firewall et d une DMZ ; Étudier les règles de filtrage et de translation entre réseaux privées et public. PRÉ-REQUIS Système d exploitation

Plus en détail

Sécurité des réseaux Firewalls

Sécurité des réseaux Firewalls Sécurité des réseaux Firewalls A. Guermouche A. Guermouche Cours 1 : Firewalls 1 Plan 1. Firewall? 2. DMZ 3. Proxy 4. Logiciels de filtrage de paquets 5. Ipfwadm 6. Ipchains 7. Iptables 8. Iptables et

Plus en détail

Les frewall sous linux : IPCHAINS

Les frewall sous linux : IPCHAINS Les frewall sous linux : IPCHAINS INTRODUCTION Le Linux ipchains est une commande de frewalling. Il permet d effectuer en fait le fltrage de paquets. Un fltre de paquet est un logiciel qui regarde l'entête

Plus en détail

Objectif des gardes barrières. Barrière de Sécurité. Pare-feu. Pare-feu. Types de Pare-feu. Une vue d'ensemble

Objectif des gardes barrières. Barrière de Sécurité. Pare-feu. Pare-feu. Types de Pare-feu. Une vue d'ensemble ASR4 réseaux Barrière de Sécurité Introduction Serveur de proximité, pare-feu IP, filtrage, architecture 1 Objectif des gardes barrières Protéger un environnement (vis à vis de l extérieur et de l intérieur)

Plus en détail

TP5 : SECURITE - IPTABLES

TP5 : SECURITE - IPTABLES TP5 : SECURITE - IPTABLES Conception d'une zone démilitarisée (DeMilitarized Zone: DMZ) Veuillez indiquer les informations suivantes : Binômes Nom Station ou PC D. Essayed-Messaoudi Page 1 sur 9 TP 5 :

Plus en détail

Définition Principes de fonctionnement Application à iptables 1/25

Définition Principes de fonctionnement Application à iptables 1/25 Les pare-feux Définition Principes de fonctionnement Application à iptables 1/25 Définition Un pare-feu est un logiciel qui : Analyse les trames qu'il reçoit et prend une décision en fonction des adresses

Plus en détail

Mise en place d une zone démilitarisée (DMZ)

Mise en place d une zone démilitarisée (DMZ) Mise en place d une zone démilitarisée (DMZ) I- Définition du projet : a. Contexte b. Objectifs c. Architecture II- Procédure de réalisation : a. Installation/ Configuration du routeur b. Installation

Plus en détail

Administration Réseaux

Administration Réseaux M1 Réseaux Informatique et Applications Administration Réseaux Travaux Pratique n 2 : Firewall Auteurs : Professeur : Patrick Guterl A rendre pour le Mardi 27 Mars 2007 Chapitre : / Préliminaires Préliminaires

Plus en détail

Travaux Pratiques R&T 2 ème année Durée : 3 heures TP R2b SECURITE RESEAUX Filtrage Iptables. Objectifs du TP

Travaux Pratiques R&T 2 ème année Durée : 3 heures TP R2b SECURITE RESEAUX Filtrage Iptables. Objectifs du TP Travaux Pratiques R&T 2 ème année Durée : 3 heures TP R2b SECURITE RESEAUX Filtrage Iptables Noms :Rabenejamina Solohaja, Tharic Faris Groupe :TP4 groupe5 Date : 24/10/14 Objectifs du TP Mise en œuvre

Plus en détail

IPTABLES Etude d'un système de pare-feu

IPTABLES Etude d'un système de pare-feu IPTABLES Etude d'un système de pare-feu Ce TP consiste à mettre en place un réseau d'entreprise connecté à Internet via un firewall. Cette entreprise dispose d'un serveur Web et SSH qui sert aussi de proxy

Plus en détail

LINUX FIREWALL. Le firewall opèrera en fonction de règles de filtrage, appelées des ACL (Access Control Lists).

LINUX FIREWALL. Le firewall opèrera en fonction de règles de filtrage, appelées des ACL (Access Control Lists). 1 LINUX FIREWALL Introduction Un firewall ou pare-feu est un des composants essentiel à la sécurité informatique d un réseau. Il va permettre d isoler une ou plusieurs machines ou réorienter les requêtes

Plus en détail

Durée : 2h Documents autorisés Format des données réseaux en p.4

Durée : 2h Documents autorisés Format des données réseaux en p.4 Master 1 ère année UE Réseaux Avancés I Corrections janvier 2012 Durée : 2h Documents autorisés Format des données réseaux en p.4 Protocole RTP, «Real Time Protocol» (2 points) Vous pouvez compléter le

Plus en détail

Netfilter : le firewall de linux 2.4 et 2.6

Netfilter : le firewall de linux 2.4 et 2.6 Netfilter : le firewall de linux 2.4 et 2.6 Netfilter: le logiciel, IPTABLES: la commande permettant de le configurer netfilter (noyaux 2.4 et premiers noyaux 2.6): filtre à état pour ipv4 filtre de paquet

Plus en détail

Netfilter & Iptables. Théorie Firewall. Autoriser le trafic entrant d'une connexion déjà établie. Permettre le trafic entrant sur un port spécifique

Netfilter & Iptables. Théorie Firewall. Autoriser le trafic entrant d'une connexion déjà établie. Permettre le trafic entrant sur un port spécifique Page 1 sur 5 Article original traduit par Kmeleon, refonte de eks. Provenant de ubuntu-fr.org Netfilter & Iptables Netfilter est un module du noyau Linux (depuis la version 2.4) qui offre la possibilité

Plus en détail

LOSLIER Mathieu IR1 31 Mai 2011. Rapport TP Firewall

LOSLIER Mathieu IR1 31 Mai 2011. Rapport TP Firewall Rapport TP Firewall 1 Table des matières Rapport TP Firewall... 1 Introduction... 3 1. Plate-forme de sécurité étudiée... 3 2. Routage classique... 3 2.1 Mise en œuvre du routage classique... 4 2.2 Configuration

Plus en détail

1 Montage de l architecture

1 Montage de l architecture Étude de cas Sécurité des réseaux Xavier Skapin xavier.skapin@univ-poitiers.fr 28-29 Correction Montage de l architecture L objectif de cette étude est de monter une architecture sécurisée selon divers

Plus en détail

Administration réseau Iptables et NAT

Administration réseau Iptables et NAT Administration réseau Iptables et NAT A. Guermouche A. Guermouche Cours 4 : Iptables et NAT 1 Plan 1. Logiciels de filtrage de paquets 2. Ipfwadm 3. Ipchains 4. Iptables A. Guermouche Cours 4 : Iptables

Plus en détail

Sécurité Réseaux TP1

Sécurité Réseaux TP1 Sécurité Réseaux TP1 BONY Simon 22 mai 2012 1 P a g e Table des matières Introduction... 3 I. Préparation... 4 II. Routage Classique... 5 II.1 Mise en œuvre du routage classique... 5 II.2 Configuration

Plus en détail

DMZ et Ubuntu UBUNTU 10

DMZ et Ubuntu UBUNTU 10 GRANDHAYE Antoine TP 4 DMZ et Firewall 01/10/2014 TP 4 : Etude d un Firewall DMZ et Ubuntu UBUNTU 10 01 octobre 2014 Créé par : GRANDHAYE Antoine TP 4 : Etude d un Firewall Firewall et Linux OBJECTIFS

Plus en détail

Julien Iguchi-Cartigny

Julien Iguchi-Cartigny Julien Iguchi-Cartigny Associate Professor, XLIM, University of Limoges, France View Edit History Print Netkit» BasicFirewall Netkit Menu Installation Support sniffing FAQ Labs Lab 1: Introduction Lab

Plus en détail

Laboratoire Télécom&Réseaux TP M1 2005/2006 SECURITE - IPTABLES

Laboratoire Télécom&Réseaux TP M1 2005/2006 SECURITE - IPTABLES SECURITE - IPTABLES Conception d'une zone démilitarisée (DeMilitarized Zone: DMZ) Veuillez indiquer les informations suivantes : Binômes Nom Station ou PC D. Essayed-Messaoudi Page 1 sur 9 TP 4 : Sécurité

Plus en détail

pare - feu généralités et iptables

pare - feu généralités et iptables pare - feu généralités et iptables Cycle Ingénierie 3e année SRT Dernière mise à jour : 12/12/2006 Adrien URBAN pare-feu général routeurs pare-feu sans état pare-feu avec état pare-feu avec état et inspection

Plus en détail

Firewall et Nat. Démarrez ces machines et vérifiez leur fonctionnement. Faites attention à l'ordre de démarrage.

Firewall et Nat. Démarrez ces machines et vérifiez leur fonctionnement. Faites attention à l'ordre de démarrage. BTS S.I.O. 2 nd Année Option SISR Firewall et Nat TP 10 Firewall & Nat Notes : remplacer unserveur.sio.lms.local par le nom d'un serveur sur le réseau sio. Trouver les adresses du cœurs de réseau du lycée

Plus en détail

ultisites S.A. module «dns-dhcp»

ultisites S.A. module «dns-dhcp» M ultisites S.A. module «dns-dhcp» TP N 1 : Installation du routeur firewall iptables Nom : Prénom : Classe : Date : Appréciation : Note : Objectif : Être capable d'installer le service de routage et filtrage

Plus en détail

Éléments de Sécurité sous Linux

Éléments de Sécurité sous Linux Éléments de Sécurité sous Linux Objectif: Pare-feu sous GNU/Linux Contenu: Principes de base fonctionnement de Netfilter architecture: DMZ configuration par iptables par Shorewall Principe du pare-feu

Plus en détail

But de cette présentation. Sous-réseaux IP Exercice récapitulatif. Schéma réseau de l'exercice. Données de l'exercice

But de cette présentation. Sous-réseaux IP Exercice récapitulatif. Schéma réseau de l'exercice. Données de l'exercice Sous-réseaux IP Exercice récapitulatif But de cette présentation L'adressage et le routage IP sont des notions importantes Il est intéressant d'utiliser ces notions dans un exercice récapitulatif qui vous

Plus en détail

Université Pierre Mendès France U.F.R. Sciences de l Homme et de la Société Master IC²A. TP réseau firewall

Université Pierre Mendès France U.F.R. Sciences de l Homme et de la Société Master IC²A. TP réseau firewall Université Pierre Mendès France U.F.R. Sciences de l Homme et de la Société Master IC²A TP réseau firewall L objectif de ce TP est de comprendre comment mettre en place un routeur pare-feu (firewall) entre

Plus en détail

Jean-François Berdjugin, Jean-François Remm 2005-2006 IUT 1, Département SRC

Jean-François Berdjugin, Jean-François Remm 2005-2006 IUT 1, Département SRC Firewall Allant être déconnectés du réseau de l'iut, il vous faut sauvegarder ce fichier ainsi que les fichiers de scripts sur la machine passerelle. Ce sujet de TP repose sur deux articles : http://olivieraj.free.fr/

Plus en détail

Administration avancée sous Linux

Administration avancée sous Linux Administration avancée sous Linux Anthony Busson 1 Plan du cours 1. Compilation (gcc) 2. Gestion des utilisateurs et des groupes 3. Montage des périphériques et des systèmes de fichiers 4. Scripts 5. Archivage

Plus en détail

ASR4 Réseaux Département Informatique, IUT Bordeaux 1. Prénom : Nom : Groupe :

ASR4 Réseaux Département Informatique, IUT Bordeaux 1. Prénom : Nom : Groupe : TP3 ASR4 Réseaux Département Informatique, IUT Bordeaux 1 ASR4-R Prénom : Nom : Groupe : 1 Gestion du réseau virtuel Le réseau virtuel utilisé lors de ce TP a été réalisé avec NEmu (Network Emulator),

Plus en détail

2011 Hakim Benameurlaine 1

2011 Hakim Benameurlaine 1 Table des matières 1 CONFIGURER UN PARE-FEU AVEC IPTABLES... 2 1.1 INSTALLATION... 2 1.2 FILTRER LES PAQUETS... 2 1.3 TABLES... 2 1.3.1 Table NAT... 2 1.4 TABLE FILTER... 2 1.5 TABLE MANGLE... 2 1.6 CHAÎNES...

Plus en détail

Alexis Lechervy Université de Caen. M1 Informatique. Réseaux. Filtrage. Bureau S3-203 mailto://alexis.lechervy@unicaen.fr

Alexis Lechervy Université de Caen. M1 Informatique. Réseaux. Filtrage. Bureau S3-203 mailto://alexis.lechervy@unicaen.fr M1 Informatique Réseaux Filtrage Bureau S3-203 mailto://alexis.lechervy@unicaen.fr Sécurité - introduction Au départ, très peu de sécurité dans les accès réseaux (mots de passe, voyageant en clair) Avec

Plus en détail

Compte rendu PTI #03

Compte rendu PTI #03 Compte- rendu PTI #03 Cette troisième PTI couvre le domaine du paramétrage réseau et de la sécurité du réseau par la mise en place d'un système de filtrage de paquets via Netfilter (iptables) sous GNU/Linux.

Plus en détail

UE31 - M3102 : Services Réseaux

UE31 - M3102 : Services Réseaux UE31 - M3102 : Services Réseaux Enoncé du TP 4 NAT/PAT, Pare-Feu C. Pain-Barre Table des matières 1 Simulateur : Nat/Pat et firewall 2 Exercice 1 (Simulation Nat/Pat et firewall).................................

Plus en détail

Filtrage dynamique. 27/11/2006 Formation Permanente Paris6 49

Filtrage dynamique. 27/11/2006 Formation Permanente Paris6 49 Filtrage dynamique Linux noyau >= 2.4 netfilter : Iptables Cisco propose les CBAC (IOS Firewall) *BSD avec IPFilter Packet filter Beaucoup de Pare Feu utilise du filtrage dynamique Principe Fonctionnement

Plus en détail

Table des matières. Formation Iptables

Table des matières. Formation Iptables Table des matières 1.COURS...2 1.1.Mise en situation...2 1.2.Que puis je faire avec iptables/netfilter?...3 1.3.Qu'est ce qu'une chaîne?...3 1.4.Comment placer une règle dans une chaîne?...5 2.TP IPTABLES...6

Plus en détail

Licence 3 Systèmes et Réseaux II. Chapitre V : Filtrage

Licence 3 Systèmes et Réseaux II. Chapitre V : Filtrage Licence 3 Systèmes et Réseaux II Chapitre V : Filtrage Département IEM / UB Eric.Leclercq@u-bourgogne.fr Bureau G212 Aile des Sciences de l Ingénieur Mise-à-jour : février 2009 (Département IEM / UB) Filtrage

Plus en détail

EPREUVE PRATIQUE DES TECHNIQUES INFORMATIQUES ACTIVITE N 1. Thème de l activité : Configuration d un firewall

EPREUVE PRATIQUE DES TECHNIQUES INFORMATIQUES ACTIVITE N 1. Thème de l activité : Configuration d un firewall B.T.S Informatique de Gestion Option Administrateur de Réseaux Locaux d Entreprise Session 2004/2005 EPREUVE PRATIQUE DES TECHNIQUES INFORMATIQUES Nom et prénom du candidat : TAGLIAFERRI Eric ACTIVITE

Plus en détail

AUCUN DOCUMENT AUTORISÉ. Détailler autant que possible vos réponses, en particulier pour les questions de cours!

AUCUN DOCUMENT AUTORISÉ. Détailler autant que possible vos réponses, en particulier pour les questions de cours! Test du Module M3102 Samedi 10 janvier 2015 Durée : 2 heures IUT Aix-en-Provence Semestre 3 DUT INFO AUCUN DOCUMENT AUTORISÉ Détailler autant que possible vos réponses, en particulier pour les questions

Plus en détail

Administration réseau. Architecture réseau et Sécurité

Administration réseau. Architecture réseau et Sécurité Administration réseau Architecture réseau et Sécurité Pourquoi la sécurité? Maladroits, pirates, plaisantins et autres malveillants Protéger ce qu'on a à protéger Continuer à fonctionner Responsabilité

Plus en détail

But de cette présentation. Partage de connexion Internet (rédigé pour Ubuntu Server) Schéma de principe. Partage de connexion Internet

But de cette présentation. Partage de connexion Internet (rédigé pour Ubuntu Server) Schéma de principe. Partage de connexion Internet Partage de connexion Internet (rédigé pour buntu Server) But de cette présentation Maintenant que nous avons configuré le rôle serveur DHCP sur notre serveur Linux, donnons l accès à Internet aux clients

Plus en détail

NetFilter est sous licence libre GPL, i.e. gratuit et modifiable du moment que les modifications et améliorations apportées soit rendues publiques.

NetFilter est sous licence libre GPL, i.e. gratuit et modifiable du moment que les modifications et améliorations apportées soit rendues publiques. IpTables par l'exemp IpTables par l'exemple Arnaud de Bermingham IpTables par l'exemple Contact : duracell chez apinc point org révision par Jice révision par Fred

Plus en détail

Les Firewalls 03-01-2006. Gérald Masquelier Antoine Mottier Cédric Pronzato

Les Firewalls 03-01-2006. Gérald Masquelier Antoine Mottier Cédric Pronzato Les Firewalls 03-01-2006 Gérald Masquelier Antoine Mottier Cédric Pronzato Plan Pourquoi un firewall? Les différentes catégories de firewall Qualité de service NetFilter Les différents types de firewall

Plus en détail

Rapport IN411 ESIEE PARIS TP DMZ / Firewall /Linux

Rapport IN411 ESIEE PARIS TP DMZ / Firewall /Linux Rapport IN411 ESIEE PARIS TP DMZ / Firewall /Linux Table des matières I. Câblage de la plate-forme étudiée...3 Partie Routeur...3 Partie DMZ...3 Partie LAN...3 II. Routage classique...4 Configuration des

Plus en détail

Le filtrage de niveau IP

Le filtrage de niveau IP 2ème année 2008-2009 Le filtrage de niveau IP Novembre 2008 Objectifs Filtrage : Le filtrage permet de choisir un comportement à adopter vis à vis des différents paquets émis ou reçus par une station.

Plus en détail

Intégration d une station au domaine

Intégration d une station au domaine Atelier 4 au domaine Durée approximative de cet atelier : 1 heure 30 Objectif Apprendre à intégrer une station Windows à un domaine Windows. Action indispensable pour profiter de toutes les possibilités

Plus en détail

Master 1 ère année. UE Réseaux Avancés I. Corrections décembre 2012. Durée : 2h Documents autorisés

Master 1 ère année. UE Réseaux Avancés I. Corrections décembre 2012. Durée : 2h Documents autorisés Master 1 ère année UE Réseaux Avancés I Corrections décembre 2012 Durée : 2h Documents autorisés NetFilter & Gestion de congestion (12 points) 1 Le responsable d une petite entreprise vous appelle pour

Plus en détail

Sécurité avancée des réseaux Filtrage des paquets. IUT d Auxerre Département RT 2 ème année 2013-2014 ZHANG Tuo tuo.zhang@u-bourgogne.

Sécurité avancée des réseaux Filtrage des paquets. IUT d Auxerre Département RT 2 ème année 2013-2014 ZHANG Tuo tuo.zhang@u-bourgogne. Sécurité avancée des réseaux Filtrage des paquets IUT d Auxerre Département RT 2 ème année 2013-2014 ZHANG Tuo tuo.zhang@u-bourgogne.fr Outline Pare-feu & Filtre de Confiance Filtrage de paquets Pare-feu

Plus en détail

Administration réseau Firewall

Administration réseau Firewall Administration réseau Firewall A. Guermouche Cours 5 : Firewall 1/13 Plan Firewall? DMZ Iptables et filtrage Cours 5 : Firewall 2/13 Plan Firewall? DMZ Iptables et filtrage Cours 5 : Firewall 3/13 Pourquoi

Plus en détail

RÉSEAUX ET SÉCURITÉ INFORMATIQUES

RÉSEAUX ET SÉCURITÉ INFORMATIQUES RÉSEAUX ET SÉCURITÉ INFORMATIQUES MICKAËL CHOISNARD UNIVERSITÉ DE BOURGOGNE Cours MIGS 2 novembre 2015 INTRODUCTION La sécurité de ma machine, je m'en fous : y'a rien de précieux sur ma machine... personne

Plus en détail

IN411-TP1 Conception d'une zone démilitarisée

IN411-TP1 Conception d'une zone démilitarisée IN411-TP1 Conception d'une zone démilitarisée RENOUX Charles ROUESSARD Julien TARRALLE Bruno ROHAUT Fanny SCHAPIRA Boris TEA Christophe le 16 Octobre 2005 Table des matières Introduction 2 1 Routage Classique

Plus en détail

NetFilter & Iptables Le pare-feu selon Linux

NetFilter & Iptables Le pare-feu selon Linux NetFilter & Iptables Le pare-feu selon Linux Premier Maître Jean Baptiste FAVRE DCSIM / SDE / SIC / Audit SSI jean-baptiste.favre@marine.defense.gouv.fr CFI Juin 2005 NetFilter 15 mai 2005 Diapositive

Plus en détail

Mettre des PC en réseau

Mettre des PC en réseau 1 sur 8 25/03/2010 14:24 Mettre des PC en réseau Informations sur le tutoriel Auteur : ShigeruM Visualisations : 1 852 613 Salut les Zér0s! Plus d'informations Ici je vais vous apprendre à mettre deux

Plus en détail

Routage et filtrage IP avec Linux.

Routage et filtrage IP avec Linux. GNU/Linux: Un Unix libre Routage et filtrage IP avec Linux. SCI Limoges Marcel Giry 1 Plan de la formation: 1-Notions de base sur TCP/IP : Rappels sur l'adressage IP Principes du routage IP Les protocoles

Plus en détail

GSB Proxy / Firewall. Version <2.5> Mise en place d'un PfSense

GSB Proxy / Firewall. Version <2.5> Mise en place d'un PfSense GSB Proxy / Firewall Version Mise en place d'un PfSense Historique des révisions Date Version Description Auteur 23/02/2016 Installation et configuration de Pfsense Legrand Julien Brice Harismendy

Plus en détail

TP Réseaux. Conception d'une zone démilitarisée (DeMilitarized Zone : DMZ)

TP Réseaux. Conception d'une zone démilitarisée (DeMilitarized Zone : DMZ) TP Réseaux Conception d'une zone démilitarisée (DeMilitarized Zone : DMZ) Préambule Nous devons concevoir une zone démilitarisée, c'est à dire une configuration réseau qui permet d'isoler un ensemble de

Plus en détail

Université Pierre Mendès France U.F.R. Sciences de l Homme et de la Société Licence MIASS. TP réseau firewall

Université Pierre Mendès France U.F.R. Sciences de l Homme et de la Société Licence MIASS. TP réseau firewall Université Pierre Mendès France U.F.R. Sciences de l Homme et de la Société Licence MIASS TP réseau firewall L objectif de ce TP est de comprendre comment mettre en place un routeur pare-feu (firewall)

Plus en détail

MISE EN PLACE DU FIREWALL SHOREWALL

MISE EN PLACE DU FIREWALL SHOREWALL MISE EN PLACE DU FIREWALL SHOREWALL I INTRODUCTION Administrateur réseau dans une petite entreprise, vous devez, suite à la mise en place d une ligne ADSL, offrir l accès à l internet à tous les utilisateurs

Plus en détail

TP 3 Réseaux : Subnetting IP et Firewall

TP 3 Réseaux : Subnetting IP et Firewall TP 3 Réseaux : Subnetting IP et Firewall Durée approximative du temps à passer sur chaque partie: I) 1h II-A) 1h II-B) 1h II-C) 45 mn II-D) 15 mn Important Il est nécessaire de ne pas avoir de services

Plus en détail

Sécurité et Firewall

Sécurité et Firewall TP de Réseaux IP pour DESS Sécurité et Firewall Auteurs: Congduc Pham (Université Lyon 1), Mathieu Goutelle (ENS Lyon), Faycal Bouhafs (INRIA) 1 Introduction: les architectures de sécurité, firewall Cette

Plus en détail

Exemples de commandes avec iptables.

Exemples de commandes avec iptables. Exemples de commandes avec iptables. * Présentation d'iptables IpTables est une solution complète de firewall (noyau 2.4) remplaçant ipchains (noyau 2.2) tournant sous le système GNU/Linux. IpTables permet

Plus en détail

acpro SEN TR firewall IPTABLES

acpro SEN TR firewall IPTABLES B version acpro SEN TR firewall IPTABLES du 17/01/2009 Installation du routeur firewall iptables Nom : Prénom : Classe : Date : Appréciation : Note : Objectifs : - Être capable d'installer le service de

Plus en détail

Fonctionnement de Iptables. Exercices sécurité. Exercice 1

Fonctionnement de Iptables. Exercices sécurité. Exercice 1 Exercice 1 Exercices sécurité 1. Parmi les affirmations suivantes, lesquelles correspondent à des (bonnes) stratégies de défenses? a) Il vaut mieux interdire tout ce qui n'est pas explicitement permis.

Plus en détail

Firewall. Firewall, Virus, Spam. Administration Système et Réseaux, Sécurité. Définition. Firewall Généralités Définitions Mise en oeuvre iptables

Firewall. Firewall, Virus, Spam. Administration Système et Réseaux, Sécurité. Définition. Firewall Généralités Définitions Mise en oeuvre iptables Firewall, Virus, Spam Administration Système et Réseaux, Sécurité Firewall, Spam, Virus Philippe Harrand Firewall Généralités Définitions Mise en oeuvre iptables 1 Departement Informatique Pôle Sciences

Plus en détail

TER Réseau : Routeur Linux 2 Responsable : Anthony Busson

TER Réseau : Routeur Linux 2 Responsable : Anthony Busson TER Réseau : Routeur Linux 2 Responsable : Anthony Busson Exercice 1 : Une entreprise veut installer un petit réseau. Elle dispose d un routeur sur Linux. Il doit servir à interconnecter deux réseaux locaux

Plus en détail

Sécuriser son serveur Linux

Sécuriser son serveur Linux Sécuriser son serveur Linux Fontaine Thibaut - 1 janvier 2016 FONTAINE THIBAUT 1 Sommaire I) Pourquoi sécuriser un serveur? II) Les sécurités SSH Clé asymétrique Fail2ban IPtable FONTAINE THIBAUT 2 I)

Plus en détail

Iptables. Table of Contents

Iptables. Table of Contents Iptables Dérnières modifications : Monday 07 April 2003 La dérnière version de ce document est disponible ici : http://tuxz.org/cours/iptables/ Stéphane Salès s.sales@tuxz.org Table of Contents 1.COURS

Plus en détail

Table des matières 1 NAT et ICS sous Windows 2008 Server...2 1.1 Introduction...2

Table des matières 1 NAT et ICS sous Windows 2008 Server...2 1.1 Introduction...2 Table des matières 1 NAT et ICS sous Windows 2008 Server...2 1.1 Introduction...2 1.2 Fonctionnement du NAT...3 1.3 Port Forwarding...5 2011 Hakim Benameurlaine 1 1 NAT et ICS sous Windows 2008 Server

Plus en détail

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant. http://robert.cireddu.free.

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant. http://robert.cireddu.free. 2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES 2.2 Architecture fonctionnelle d un système communicant Page:1/11 http://robert.cireddu.free.fr/sin LES DÉFENSES Objectifs du COURS : Ce cours traitera essentiellement

Plus en détail

IPTables Analyse et réalisation

IPTables Analyse et réalisation IPTables Analyse et réalisation Page 1 sur 15 Table des matières IPTables - analyse...3 Qu est-ce que c est?...3 Vocabulaire...3 Chaîne...3 Motif de reconnaissance...3 Cible...3 Policy...3 Policy Accept...3

Plus en détail

Installation d'un Slis 3.2 par une personne ressource en établissement

Installation d'un Slis 3.2 par une personne ressource en établissement Installation d'un Slis 3.2 par une personne ressource en établissement (Mise à jour du 8 juin 2005) ATTENTION : Ce document n'est ni un outil de formation ni un document contractuel, mais seulement un

Plus en détail

Rapport Thème Réseau: Translation d adresse (NAT) sous FreeBSD.

Rapport Thème Réseau: Translation d adresse (NAT) sous FreeBSD. Rapport Thème Réseau: Translation d adresse (NAT) sous FreeBSD. I) Principe : 1) Principe du NAT 2) Espaces d adressage 3) Translation statique 4) Translation dynamique 5) Port Forwarding II) Configuration

Plus en détail

Configuration firewall. Cette fiche explique la configuration du firewall intégré à NetXServ. Version 2.0. Date 28/12/2011 Validation

Configuration firewall. Cette fiche explique la configuration du firewall intégré à NetXServ. Version 2.0. Date 28/12/2011 Validation Diffusion : Libre Restreinte Interne Configuration firewall Cette fiche explique la configuration du firewall intégré à NetXServ Version 2.0 Auteur JP MAJ DD Date 28/12/2011 Validation RESIX - 10, rue

Plus en détail

Pare-feu sous Linux : Netfilter/Iptables

Pare-feu sous Linux : Netfilter/Iptables Copyright (c) 2003 tv Permission is granted to copy, distribute and/or modify this document under the terms of the GNU Free Documentation License, Version 1.1 or any later version published

Plus en détail

Sécurité GNU/Linux. Iptables, principe de base

Sécurité GNU/Linux. Iptables, principe de base Sécurité GNU/Linux Iptables, principe de base By sharevb Sommaire I.Qu est-ce qu un pare-feu?...1 II.Architecture d iptables...2 III.Les différents types de filtrages : les tables...2 IV.Fonctionnement

Plus en détail

TCP/IP, NAT/PAT et Firewall

TCP/IP, NAT/PAT et Firewall Année 2011-2012 Réseaux 2 TCP/IP, NAT/PAT et Firewall Nicolas Baudru & Nicolas Durand 2e année IRM ESIL Attention! Vous devez rendre pour chaque exercice un fichier.xml correspondant à votre simulation.

Plus en détail

CNAM PACA UE RSX112 Examen, session de Juin 2014

CNAM PACA UE RSX112 Examen, session de Juin 2014 CNAM PACA UE RSX112 Examen, session de Juin 2014 Tous les documents papier sont autorisés lors de l épreuve ainsi que la calculatrice. Question 1 / 2 points Etude d un protocole Voici comment est décrite

Plus en détail

Étude d'un pare-feu. On va utiliser des machines debian car il faut être super utilisateur pour faire ces manipulations.

Étude d'un pare-feu. On va utiliser des machines debian car il faut être super utilisateur pour faire ces manipulations. But du TP Étude d'un pare-feu Vous disposez pour cette manipulation de 4 ordinateurs dont 2 (les passerelles) ont des cartes ethernet supplémentaires. Les passerelles auront le rôle de pare feu par rapport

Plus en détail

TP Le Routage sous Windows 2003 Server

TP Le Routage sous Windows 2003 Server TP Le Routage sous Windows 2003 Server 1) Mise en place de l architecture réseau Pour ce TP, vous utiliserez les machines fonctionnant sous Windows serveur 2003 qui sont équipées de trois cartes réseau.

Plus en détail

Sécurité GNU/Linux NAT

Sécurité GNU/Linux NAT Sécurité GNU/Linux NAT By sharevb Sommaire I.Qu'est-ce qu'une passerelle?...1 II.Qu'est-ce que NAT?...2 III.Types de NAT...2 a)nat Statique...3 b)nat dynamique/ip masquerading/pat...4 c)oui, mais ICMP

Plus en détail

Linux Firewalling - IPTABLES

Linux Firewalling - IPTABLES Linux Firewalling - IPTABLES Aujourd hui tout le monde sait ce que c est qu un firewall ainsi que son utilité sur un réseau, un serveur ou même un ordinateur personnel. En gros, c est la partie du système

Plus en détail

Cours Microfer Chartres

Cours Microfer Chartres Niveau de difficulté DIFFICILE Cours Microfer Chartres LES PORTS DE COMMUNICATION Qu'est-ce qu'une adresse IP, qu'est-ce qu'une adresse Ethernet? Dès que vous êtes connecté à Internet votre PC est identifié

Plus en détail

TD séance n 13 Réseau Windows

TD séance n 13 Réseau Windows 1 Paramètre IP sous Windows Nous avons vu lors de la dernière séance qu un ordinateur connecté à Internet devait avoir une adresse IP. Ce que nous avons vu sous Linux est identique à ce que nous allons

Plus en détail

Le filtrage de paquets sous Linux

Le filtrage de paquets sous Linux LinuxFocus article number 289 http://linuxfocus.org Le filtrage de paquets sous Linux par Vincent Renardias L auteur: Utilisateur de GNU/Linux depuis 1993, Vincent Renardias

Plus en détail