MISE EN PLACE DU FIREWALL SHOREWALL



Documents pareils
MISE EN PLACE DU FIREWALL SHOREWALL

TP4 : Firewall IPTABLES

Université Pierre Mendès France U.F.R. Sciences de l Homme et de la Société Master IC²A. TP réseau firewall

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant.

Netfilter & Iptables. Théorie Firewall. Autoriser le trafic entrant d'une connexion déjà établie. Permettre le trafic entrant sur un port spécifique

TP Linux : Firewall. Conditions de réalisation : travail en binôme. Fonctionnement du parefeu Netfilter. I Qu est ce qu'un firewall?

FILTRAGE de PAQUETS NetFilter

Sécurité des réseaux Firewalls

Filtrage IP MacOS X, Windows NT/2000/XP et Unix

But de cette présentation. Proxy filtrant avec Squid et SquidGuard. Serveur proxy. Serveur proxy. Hainaut P

CONFIGURATION FIREWALL

Figure 1a. Réseau intranet avec pare feu et NAT.

Sécurité et Firewall

Fonctionnement de Iptables. Exercices sécurité. Exercice 1

TP SECU NAT ARS IRT ( CORRECTION )

acpro SEN TR firewall IPTABLES

Capture, Filtrage et Analyse de trames ETHERNET avec le logiciel Wireshark. Etape 1 : Lancement des machines virtuelles VMWARE et de Wireshark

ACTION PROFESSIONNELLE N 4. Fabien SALAMONE BTS INFORMATIQUE DE GESTION. Option Administrateur de Réseaux. Session Sécurité du réseau

LAB : Schéma. Compagnie C / /24 NETASQ

1/ Introduction. 2/ Schéma du réseau

Administration réseau Firewall

TER Réseau : Routeur Linux 2 Responsable : Anthony Busson

Alexis Lechervy Université de Caen. M1 Informatique. Réseaux. Filtrage. Bureau S3-203

INSTALLATION DEBIAN 7 (NETINSTALL) SUR VM

TAGREROUT Seyf Allah TMRIM

Pour configurer le Hitachi Tecom AH4021 afin d'ouvrir les ports pour "chatserv.exe", vous devez suivre la proc

Firewall IDS Architecture. Assurer le contrôle des connexions au. Sécurité 1

Réalisation d un portail captif d accès authentifié à Internet

CONFIGURATION DE BASE. 6, Rue de l'industrie BP130 SOULTZ GUEBWILLER Cedex. Fax.: Tel.:

Firewall. Souvent les routeurs incluent une fonction firewall qui permet une première sécurité pour le réseau.

ASR4 Réseaux Département Informatique, IUT Bordeaux 1. DHCP Prénom : Nom : Groupe :

Mise en place des TPs Réseau en machines virtuelles. Utilisation de VmPlayer

TARMAC.BE TECHNOTE #1

Procédure pas à pas de découverte de l offre. Service Cloud Cloudwatt

Intérêt du NAT (Network Address Translation) Administration Réseau Niveau routage. Exemple d Intranet. Principe NAT

IP & Co. 1. Service DHCP. L'objectif de ce TP est de voir l'ensemble des services élémentaires mis en oeuvre dans les réseaux IP.

Procédure d utilisation et de paramétrage (filtrage) avec IPFIRE

Licence 3 Systèmes et Réseaux II. Chapitre V : Filtrage

TP 3 Réseaux : Subnetting IP et Firewall

Configuration Routeur DSL pour Xbox LIVE ou PlayStation-Network

pfsense Manuel d Installation et d Utilisation du Logiciel

Le filtrage de niveau IP

Formation Iptables : Correction TP

Documentation FOG. 3. Choisir le nom de la machine, le nom d utilisateur et le mot de passe correspondant (par exemple : fog, password)

avec Netfilter et GNU/Linux

Administration Réseaux

Réseaux. Moyens de sécurisation. Plan. Evolutions topologiques des réseaux locaux

A5.2.3, Repérage des compléments de formation ou d'autoformation

Cours de sécurité. Pare-feux ( Firewalls ) Gérard Florin -CNAM - - Laboratoire CEDRIC -

Sécurité GNU/Linux. Iptables : passerelle

MISE EN PLACE D UN FIREWALL ET D UN SERVEUR PROXY SOUS LINUX MANDRIVA.

Iptables. Table of Contents

EPREUVE PRATIQUE DES TECHNIQUES INFORMATIQUES ACTIVITE N 1. Thème de l activité : Configuration d un firewall

CASE-LINUX CRÉATION DMZ

Les possibilités de paramétrage réseau des logiciels de virtualisation sont les suivantes quant à la connexion réseau :

Environnements informatiques

CONFIGURATION DE BASE

SQUID Configuration et administration d un proxy

Linux Firewalling - IPTABLES

pare - feu généralités et iptables

Serveur de messagerie sous Debian 5.0

WGW PBX. Guide de démarrage rapide

But de cette présentation

Configurer et sécuriser son réseau sans fil domestique

Proxy et reverse proxy. Serveurs mandataires et relais inverses

Mise en place d un serveur DNS sous linux (Debian 6)

Serveur FTP. 20 décembre. Windows Server 2008R2

SUJET DES FINALES NATIONALES Sujet jour 1 version 1

DHCPD v3 Installation et configuration

Configuration matériel. Tâche 2 : Installation proprement dite de l application sur un serveur de test virtualisé sous VmWare Workstation.

Présentation du ResEl

TP 6 : Wifi Sécurité

Fonctionnement Kiwi Syslog + WhatsUP Gold

Mise en œuvre d une Gateway HTTP/HTTPS avec un serveur de Présentation en DMZ


Jean-Louis Cech descente des Princes des Baux Orange Orange : 20 juin 2014.

Installation d'un serveur DHCP sous Windows 2000 Serveur

DHCP et NAT. Cyril Rabat Master 2 ASR - Info Architecture des réseaux d entreprise

Rappel: Le routage dans Internet. Contraintes. Environnement et contraintes. La décision dans IP du routage: - Table de routage:

ROUTAGE. Répondez aux questions suivantes : (A chaque fois pour XP et pour Debian)

Mettre en place un accès sécurisé à travers Internet

FreeNAS Shere. Par THOREZ Nicolas

GUIDE D INSTALLATION DE FIREWALL OPEN SOURCE

TR2 : Technologies de l'internet. Chapitre VI. NAT statique et dynamique Overloading (PAT) Overlapping, port Forwarding Serveur Proxy, DMZ

II/ Le modèle OSI II.1/ Présentation du modèle OSI(Open Systems Interconnection)

TCP/IP, NAT/PAT et Firewall

FICHE CONFIGURATION SERVICE DHCP

Présentation du modèle OSI(Open Systems Interconnection)

Arkoon Security Appliances Fast 360

Travaux pratiques Configuration d une carte réseau pour qu elle utilise DHCP dans Windows Vista

Configurez votre Neufbox Evolution

Mise en place d un firewall d entreprise avec PfSense

Master 1 ère année. UE Réseaux Avancés I. Corrections décembre Durée : 2h Documents autorisés

Les firewalls libres : netfilter, IP Filter et Packet Filter

Internet - Outils. Nicolas Delestre. À partir des cours Outils réseaux de Paul Tavernier et Nicolas Prunier

SECURIDAY 2013 Cyber War

Configurer le Serveur avec une adresse IP Statique (INTERFACE :FastEthernet) : et un masque

Transcription:

MISE EN PLACE DU FIREWALL SHOREWALL I INTRODUCTION Administrateur réseau dans une petite entreprise, vous devez, suite à la mise en place d une ligne ADSL, offrir l accès à l internet à tous les utilisateurs de votre réseau. Vous devez aussi pouvoir interdire certains protocoles à certains postes. Vous savez déjà que pour partager une ligne ADSL, vous pouvez utiliser un routeur disposant d une fonction NAT (network address translation). Pour filtrer le trafic en fonction du protocole, vous devez disposer d une fonction de filtrage. Linux possède cette fonction en standard, vous allez apprendre à la paramétrer via le logiciel shorewall. Voici la plateforme que vous devez mettre en place. II CONFIGURATION INITIALE Clonez une machine Linux Lubuntu via le logiciel Vmware Workstation et rajoutez lui une carte réseau (cette machine doit avoir deux cartes réseau en bridge). Démarrez votre machine et commencez par changer le nom de votre linux. Pour cela modifiez le fichier /etc/hostname et le fichier /etc/hosts. Redémarrez votre machine. Nommez votre carte eth0 Wan et votre carte eth1 Lan. Configurez la carte nommée Wan en prenant une adresse du lycée et n oubliez ni la passerelle ni les adresses de nos serveurs DNS. Coté Lan donnez à votre firewall l adresse 192.168.x.254 sur votre réseau. Installez désormais les paquets shorewall et shorewall-doc. Ensuite, copiez les fichiers du répertoire /usr/share/doc/shorewall/examples/two-interfaces dans le répertoire /etc/shorewall. Vérifiez que le firewall shorewall sort sur le WEB. Configurez correctement votre client Seven jouant le rôle du client du LAN (adresse IP, passerelle par défaut, dns). Vérifiez que votre client ne sort pas sur le WEB. 1

III LES FICHIERS DE SHOREWALL Les fichiers de configuration pour Shorewall sont maintenant dans le répertoire /etc/shorewall. Prenez le temps de les visualiser. III.1 LES FICHIERS À NE PAS MODIFIER III.1.1 LE FICHIER SHOREWALL.CONF Ce fichier permet le routage entre votre lan et le net via le paramètre : IP_FORWARDING=Keep III.1.2 LE FICHIER "ZONES" Shorewall voit le réseau où il tourne, comme un ensemble de zones. Dans une configuration avec deux interfaces, les noms des zones suivantes sont utilisés: Nom net loc Description Internet Votre réseau local Shorewall reconnaît aussi le système de firewall comme sa propre zone - par défaut, le firewall est connu comme fw. III.1.3 LE FICHIER "POLICY" Les règles, à propos de quel trafic autoriser et de quel trafic interdire, sont exprimées en termes de zones. Vous exprimez votre politique par défaut pour les connexions d'une zone vers une autre zone dans le fichier /etc/shorewall/policy. Vous définissez les exceptions à ces politiques pas défaut dans le fichier /etc/shorewall/rules. Pour chaque connexion demandant à entrer dans le firewall, la requête est en premier lieu comparée au contenu du fichier /etc/shorewall/rules. Si aucune règle dans ce fichier ne correspond à la demande de connexion alors la première politique dans le fichier /etc/shorewall/policy qui y correspond sera appliquée. Le fichier /etc/shorewall/policy actuel est le suivant : Source Destination Policy Log Level Limit:Burst loc net ACCEPT net all DROP info all all REJECT info Ces politiques vont: Permettre toutes les demandes de connexion depuis votre réseau local vers l'internet (1) ; Drop (ou ignorer) toutes les demandes de connexion depuis l'internet vers votre firewall ou votre réseau local (2) ; Reject (rejeter) toutes les autres demandes de connexion (3). III.1.4 LE FICHIER RULES Ce fichier contient les règles suivantes : 2

#ACTION SOURCE DEST # Accept DNS connections from the firewall to internet ACCEPT $FW net tcp 53 # Accept SSH connections from the local network to firewall SSH(ACCEPT) loc $FW # Allow Ping from the local network to firewall Ping(ACCEPT) loc $FW # Drop Ping from the "bad" net zone.to firewall Ping(DROP) net $FW # Allow Ping from the firewall to local network and to the net ACCEPT $FW loc icmp ACCEPT $FW net icmp Ces règles autorisent : l'accès DNS à partir de votre firewall (1). l'accès SSH à votre firewall depuis votre réseau local (2). les pings du réseau local vers le firewall (3) et les pings du firewall vers le réseau local (5) et vers internet (6) Les pings du net vers le firewall sont interdits (4). III.2 LES FICHIERS QUI SONT PEUT-ÊTRE À MODIFIER Pour passer en root en mode console : sudo -s Pour modifier un fichier, vous pouvez lancer la commande "nano" suivi du nom du fichier. III.2.1 LE FICHIER "INTERFACES" #ZONE INTERFACE BROADCAST OPTIONS net eth0 detect dhcp,tcpflags,nosmurfs,routefilter,logmartians,sourceroute=0 loc eth1 detect tcpflags,nosmurfs,routefilter,logmartians Si vos interfaces ne s'appellent pas eth0 et eth1, pensez à changer leurs noms ici. Supprimer le dhcp sur la ligne du net. III.2.2 LE FICHIER "MASQ" EST À MODIFIER Ce fichier sert à appliquer le NAT sur la carte indiquée donc celle du Wan. #INTERFACE SOURCE ADDRESS PROTO PORT(S) IPSEC MARK eth0 10.0.0.0/8,\ 169.254.0.0/16,\ 172.16.0.0/12,\ 192.168.0.0/16 Si votre interface vers le Wan ne s'appelle pas eth0, pensez à la changer ici. 3

III.3 LE FICHIER STOPPEDRULES Ce fichier autorise les communications entre le firewall et le lan lorsque Shorewall est stoppé. #ACTION SOURCE DEST PROTO DEST PORT SOURCE PORT ACCEPT eth1 ACCEPT eth1 Si votre interface vers le Lan ne s'appelle pas eth1, pensez à changer son nom ici. IV LANCER ET ARRÊTER VOTRE FIREWALL Shorewall est lancé en utilisant la commande "shorewall start" et stoppé avec "shorewall stop". Un firewall fonctionnant peut être relancé en utilisant la commande "shorewall restart". Si vous voulez enlever toutes les traces de Shorewall dans votre configuration de Netfilter, utilisez "shorewall clear". V UTILISATION DU FIREWALL SHOREWALL Vous avez maintenant vérifié voir modifié, le contenu des fichiers de configuration. Lancez shorewall par la commande Shorewall start. V.1 VÉRIFICATION DU MODE DE FONCTIONNEMENT DU FIREWALL Votre client sort-il sur le Web?. Vérifiez si la fonction NAT est activée en utilisant iptraf (mode console iptraf > iptraffic monitor > All interfaces). A quoi voyez-vous que la fonction NAT est activée? 192.168.0.1:49168 > 81 7469 -PA- eth1 173.194.66.94:443 > 126 144196 --A- eth1 172.16.4.10:49168 > 81 7297 -PA- eth0 173.194.66.94:443 > 126 144274 --A- eth0 Vous venez de mettre en place un routeur NAT du même type que celui que vous avez mis en place sous Windows 2003. Vérifiez que le service ftp fonctionne depuis le client en interrogeant le serveur ftp.aero.jussieu.fr. Activez les accès vers le web (sécurisés ou non) depuis le firewall en modifiant le fichier "rules". Redémarrez le firewall et vérifiez qu'il accède au web. Protocoles concernés? Lignes rajoutées? 4

V.2 MISE EN PLACE DE QUELQUES RÈGLES DE FILTRAGE Un serveur telnet est installé sur le poste prof à l'adresse 172.16.4. Votre client peut-il se connecter à ce serveur telnet? Si oui pourquoi? (un indice : regardez le fichier policy) Vous voulez maintenant interdire le protocole telnet depuis le réseau local vers toutes les destinations (all). Modifiez le fichier /etc/shorewall/rules en conséquence (vous écrirez votre règle de la même manière que la première règle du fichier rules). Redémarrez shorewall et testez votre modification. Ligne rajoutée : Résultat du test : Il existe deux syntaxes pour interdire un protocole DROP et REJECT. Essayez les deux. Quelles sont les différences constatées sur le client du LAN? L administrateur réseau désire faire du telnet du LAN vers le firewall. Installez le serveur telnet sur le firewall avec la commande suivante : «apt-get install telnetd». Attention vous devez rajouter une règle pour pouvoir faire du telnet vers le firewal, mais vous ne devez pas supprimer ou modifier la ligne précédemment ajoutée. Modifiez le fichier "rules" en conséquence. Redémarrez shorewall et testez la connexion telnet du LAN vers Internet et du LAN vers le firewall. Ligne rajoutée : Résultat des tests : 5

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back