2011 Hakim Benameurlaine 1

Dimension: px

Commencer à balayer dès la page:

Download "2011 Hakim Benameurlaine 1"

Michel Boivin
il y a 8 ans
Total affichages :

1 Table des matières 1 CONFIGURER UN PARE-FEU AVEC IPTABLES INSTALLATION FILTRER LES PAQUETS TABLES Table NAT TABLE FILTER TABLE MANGLE CHAÎNES TARGET LES COMMANDES DE iptables LES PARAMÈTRES DE iptables ADMINISTRER iptables EXEMPLES Hakim Benameurlaine 1

.. 3 1.6.1 TARGET... 3 1.7 LES COMMANDES DE iptables... 3 1.7.1 LES PARAMÈTRES DE iptables.

2 1 CONFIGURER UN PARE-FEU AVEC IPTABLES 1.1 INSTALLATION Installer le paquetage iptables si nécessaire. # yum install iptables 1.2 FILTRER LES PAQUETS Les paquets sont filtrés un utilisant des règles prédéfinies. Une chaîne correspond à un ensemble de règles. La gestion des règles se fait en utilisant la commande iptables Pour lister les règles qui se trouvent présentement dans la table des filtres : iptables -L -n Chain INPUT (policy ACCEPT) target prot opt source destination Chain FORWARD (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination (n=numeric) Si aucune règle ne s applique, alors la politique par défaut est appliquée. 1.3 TABLES Table NAT (Network Address Translation) : Table utilisée pour la translation d'adresse ou la translation de port. 1.4 TABLE FILTER C'est la table par défaut si aucune table n est spécifiée. Cette table contient toutes les règles de filtrage, il existe 3 types de chaînes : FORWARD pour les paquets passant par le pare-feu. INPUT pour les paquets entrants. OUTPUT pour les paquets sortants. Les cibles (target) disponibles sont : ACCEPT, DROP, REJECT 1.5 TABLE MANGLE C'est la table qui contient les règles pour la modification de paquets. Elle est peu utilisée et ne sera pas décrite Hakim Benameurlaine 2

La gestion des règles se fait en utilisant la commande iptables Pour lister les règles qui se trouvent présentement dans la table des filtres : iptables -L -n Chain INPUT (policy ACCEPT) target prot

3 1.6 CHAÎNES Une chaîne est une suite de règles, qui sont prises dans l'ordre ; dès qu'une règle matche un paquet, elle est déclenchée, et la suite de la chaîne est ignorée. Une chaîne est donc tout simplement un ensemble de règle à appliquer dans l ordre. Ils existent cinq chaînes prédéfinies : Chaîne INPUT OUTPUT FORWARD PREROUTING POSTROUTING règles pour les paquets entrants (table FILTER) règles pour les paquets sortants (table FILTER) règles pour les paquets qui transitent (table FILTER) règles pour modifier les paquets entrants (table NAT) règles pour modifier les paquets sortants (table NAT) TARGET Le target est l action à prendre. On doit spécifier un target (action) pour chaque règle d une chaîne (j=jump). Target ACCEPT DROP REJECT accepter les paquets interdire l accès interdire l accès avec notification 1.7 LES COMMANDES DE iptables iptables n'est pas livré avec une interface graphique ; les commandes et les règles sont passées en ligne de commande. Le mieux est d'écrire des scripts qui permettent d'appliquer toutes les règles d'un seul coup, dès le démarrage du Linux. Commande -A chaîne ajouter une règle à la fin de la chaîne -D chaîne effacer une règle de la chaîne -I chaîne [no_regle] insérer une règle dans la chaîne -R chaîne no_regle remplacer une règle dans la chaîne -L [chaîne] lister les règles -E [chaîne] renommer la chaîne -F [chaîne] effacer (flush) les règles sélectionnées -N chaîne créer une nouvelle chaîne (usager) -X chaîne effacer la chaîne définie par l usager -P chaîne target définir la politique par défaut dans la chaîne -Z [chaîne] Remise à zéro des compteurs dans la chaîne 2011 Hakim Benameurlaine 3

Ils existent cinq chaînes prédéfinies : Chaîne INPUT OUTPUT FORWARD PREROUTING POSTROUTING règles pour les paquets entrants (table FILTER) règles pour les paquets sortants (table FILTER) règles pour

4 1.7.1 LES PARAMÈTRES DE iptables Option -p [!] proto protocole : TCP, UDP, ICMP, ALL -s [!] adresse [/mask] adresse source --sport [!] [!] [port[:port]] port source -d [!] adresse [/mask] adresse destination --dport [!] [!] [port[:port]] port destination -i [!] eth interface d entrée -o [!] eth interface de sortie -j target cible 1.8 ADMINISTRER iptables 1) Supprimer les règles : service iptables stop 2) Afficher les règles : service iptables status 3) Ajouter une règle : iptables -A INPUT -j ACCEPT -i lo 4) Sauvegarder les règles dans le fichier /etc/sysconfig/iptables : service iptables save 5) Restaurer les règles à partir du fichier /etc/sysconfig/iptables : service iptables start more /etc/sysconfig/iptables 6) Sauvegarder les règles dans un fichier quelconque : iptables-save > /etc/iptables.rules 7) Restaurer les règles à partir d un fichier : iptables-restore < /etc/iptables.rules 2011 Hakim Benameurlaine 4

8 ADMINISTRER iptables 1) Supprimer les règles : service iptables stop 2) Afficher les règles : service iptables status 3) Ajouter une règle : iptables -A INPUT -j ACCEPT -i lo 4) Sauvegarder les

5 1.9 EXEMPLES 1) Ajouter une nouvelle règle dans la chaîne INPUT : iptables -A INPUT -p tcp --dport 80 -j DROP 2) Supprimer une règle de la chaîne INPUT : iptables -D INPUT -p tcp --dport 80 -j DROP ou bien iptables -D INPUT 1 3) Remplacer une règle de la chaîne INPUT : iptables -R INPUT 1 -s j DROP 4) Insérer une règle de la chaîne INPUT : iptables -I INPUT 1 p tcp --dport 80 -j ACCEPT 5) Afficher toutes les règles des chaînes de la table FILTER : iptables L 6) Afficher toutes les règles de la chaîne INPUT de la table FILTER : iptables -L INPUT 7) Flusher les règles de la chaîne INPUT : iptables -F INPUT 8) Créer une nouvelle chaîne LOG_DROP : iptables -N LOG_DROP 9) Supprimer la chaîne LOG_DROP : iptables -X LOG_DROP 10) Définir la politique par défaut de la chaîne INPUT : iptables -P INPUT DROP 11) Ajout de règles : iptables -A INPUT -p tcp --source! j REJECT iptables -A INPUT -p icmp -j DROP iptables -A INPUT -p tcp -s j ACCEPT iptables -A FORWARD -p tcp -d j ACCEPT iptables -A INPUT -p icmp -i eth0 -j REJECT 2011 Hakim Benameurlaine 5

1 -j DROP 4) Insérer une règle de la chaîne INPUT : iptables -I INPUT 1 p tcp --dport 80 -j ACCEPT 5) Afficher toutes les règles des chaînes de la table FILTER : iptables L 6) Afficher toutes les

6 iptables -A OUTPUT -p icmp -o eth0 -j DROP iptables -A INPUT -p tcp --sport 80 -j ACCEPT iptables -A INPUT -p udp --sport 80 -j DROP iptables -A OUTPUT -p tcp -m multiport --sport 3128,21,1000 -j DROP iptables -A OUTPUT -p tcp --sport 1024:2042 -j ACCEPT iptables -A INPUT -p tcp --dport 110 -j DROP iptables -A INPUT -p udp --dport 110 -j DROP iptables -A INPUT -p tcp -m multiport --dport 110,4242,119 -j DROP iptables -A INPUT -p tcp --sport 4925:4633 -j ACCEPT iptables -A INPUT -p tcp --dport 42 --tcp-flags SYN, ACK -j ACCEPT iptables -A INPUT -p icmp --icmp-type 8 -j DROP iptables -A INPUT -i eth0 -p tcp --dport 80 -m state - -state NEW,ESTABLISHED -j ACCEPT iptables -A OUTPUT -o eth0 -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT 12) Ajout de règles dans la chaîne PREROUTING de la table NAT : iptables -t nat -A PREROUTING -d p tcp -- dport 110 -j DNAT --to-destination :6110 iptables -t nat -A PREROUTING -d! p tcp --dport 80 -j DNAT --to-destination : Hakim Benameurlaine 6

110,4242,119 -j DROP iptables -A INPUT -p tcp --sport 4925:4633 -j ACCEPT iptables -A INPUT -p tcp --dport 42 --tcp-flags SYN, ACK -j ACCEPT iptables -A INPUT -p icmp --icmp-type 8 -j DROP iptables

Documents pareils

Université Pierre Mendès France U.F.R. Sciences de l Homme et de la Société Master IC²A. TP réseau firewall

Université Pierre Mendès France U.F.R. Sciences de l Homme et de la Société Master IC²A TP réseau firewall L objectif de ce TP est de comprendre comment mettre en place un routeur pare-feu (firewall) entre