Linux Administration système et exploitation des services réseau

Documents pareils
TP SECU NAT ARS IRT ( CORRECTION )

Sécurité GNU/Linux. Iptables : passerelle

Université Pierre Mendès France U.F.R. Sciences de l Homme et de la Société Master IC²A. TP réseau firewall

Alexis Lechervy Université de Caen. M1 Informatique. Réseaux. Filtrage. Bureau S3-203

Sécurité des réseaux Firewalls

Formation Iptables : Correction TP

Linux Firewalling - IPTABLES

TP Linux : Firewall. Conditions de réalisation : travail en binôme. Fonctionnement du parefeu Netfilter. I Qu est ce qu'un firewall?

Administration Réseaux

TP4 : Firewall IPTABLES

TP 3 Réseaux : Subnetting IP et Firewall

Configuration réseau Basique

pare - feu généralités et iptables

EPREUVE PRATIQUE DES TECHNIQUES INFORMATIQUES ACTIVITE N 1. Thème de l activité : Configuration d un firewall

Master 1 ère année. UE Réseaux Avancés I. Corrections décembre Durée : 2h Documents autorisés

Sécurité et Firewall

Licence 3 Systèmes et Réseaux II. Chapitre V : Filtrage

FILTRAGE de PAQUETS NetFilter

Iptables. Table of Contents

Administration réseau Firewall

Netfilter & Iptables. Théorie Firewall. Autoriser le trafic entrant d'une connexion déjà établie. Permettre le trafic entrant sur un port spécifique

Le filtrage de niveau IP

TP Déploiement de réseaux IP sous Linux et MS Windows sur une infrastructure virtualisée

Environnements informatiques

ASR4 Réseaux Département Informatique, IUT Bordeaux 1. DHCP Prénom : Nom : Groupe :

Documentation technique OpenVPN

acpro SEN TR firewall IPTABLES

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant.

ROUTAGE. Répondez aux questions suivantes : (A chaque fois pour XP et pour Debian)

avec Netfilter et GNU/Linux

Le logiciel Netkit Installation et utilisation

Les firewalls libres : netfilter, IP Filter et Packet Filter

Réseaux. Moyens de sécurisation. Plan. Evolutions topologiques des réseaux locaux

SQUID Configuration et administration d un proxy

But de cette présentation. Proxy filtrant avec Squid et SquidGuard. Serveur proxy. Serveur proxy. Hainaut P

Réalisation d un portail captif d accès authentifié à Internet

Mise en place d'un Réseau Privé Virtuel

Architectures sécurisées

Exemples de commandes avec iptables.

Cisco Certified Network Associate

MANIPULATION DE LA TABLE DE ROUTAGE IP. par. G.Haberer, A.Peuch, P.Saadé

Proxy et reverse proxy. Serveurs mandataires et relais inverses

I. Adresse IP et nom DNS

Sécuriser son réseau. Sécuriser son réseau Philippe Weill (IPSL/LATMOS) Frédéric Bongat (SSI/GOUV/FR)

TER Réseau : Routeur Linux 2 Responsable : Anthony Busson

Filtrage IP MacOS X, Windows NT/2000/XP et Unix

Fonctionnement de Iptables. Exercices sécurité. Exercice 1

1/ Introduction. 2/ Schéma du réseau

Ingénieurs 2000 Informatique et Réseaux 3ème année. Les Firewalls. Masquelier Mottier Pronzato 1/23 Nouvelles Technologies Réseaux

LABO GNU LINUX: Auteur : Magali CALO, Julien LEBRUN, Kenneth BAAMI, Farid LOUBANN, Jabran ABOUMEROUANE, SALANDRE Grady

Procédure d utilisation et de paramétrage (filtrage) avec IPFIRE

TP2 - Conguration réseau et commandes utiles. 1 Généralités. 2 Conguration de la machine. 2.1 Commande hostname

Internet Protocol. «La couche IP du réseau Internet»

LOAD-BALANCING AVEC LINUX VIRTUAL SERVER

Debian Lenny - Virtualisation avec Libvirt/KVM Debian GNU/Linux

Rapport du projet Qualité de Service

Conférence Starinux Introduction à IPTABLES

Table des matières Page 1

Serveur Mandataire SQUID

Architecture réseau et filtrage des flux

Les systèmes pare-feu (firewall)

QoS Réseaux haut débit et Qualité de service

Firewall d'infrastructure centralisé. et load-balancing. Adrien Urban Responsable R&D

1. Warm up Activity: Single Node

Travaux pratiques Configuration d un pare-feu sous Windows XP

Connexion à un réseau local: Configuration et dépannage

ATELIER NETFILTER : LE FIREWALL LINUX EN ACTION

Département R&T, GRENOBLE TCP / IP

laposte.net) Ministère de l'éducation nationale Atelier sécurité Rabat RALL 2007

Intérêt du NAT (Network Address Translation) Administration Réseau Niveau routage. Exemple d Intranet. Principe NAT

Fonctionnement Kiwi Syslog + WhatsUP Gold

Table des matières Table des matières... 1 Introduction... 2 I La virtualisation... 3 II Etudes... 14

Protocoles réseaux. Abréviation de Binary Digit. C'est la plus petite unité d'information (0, 1).

Mettre en place un accès sécurisé à travers Internet

TP : Introduction à TCP/IP sous UNIX

TP DHCP et DNS. Université Pierre Mendès France U.F.R. Sciences de l Homme et de la Société Master IC²A

Configuration Routeur DSL pour Xbox LIVE ou PlayStation-Network

Cours de sécurité. Pare-feux ( Firewalls ) Gérard Florin -CNAM - - Laboratoire CEDRIC -

Guide d installation

Le Registre sous Windows 8 architecture, administration, script, réparation...

GUIDE D INSTALLATION DE FIREWALL OPEN SOURCE

Firewall IDS Architecture. Assurer le contrôle des connexions au. Sécurité 1

Mise en place des TPs Réseau en machines virtuelles. Utilisation de VmPlayer

Figure 1a. Réseau intranet avec pare feu et NAT.

Installation d un serveur AmonEcole

Parallels Plesk Panel. Module Pare-feu de Parallels Plesk Panel 10 pour Linux/Unix. Guide de l'administrateur

Date : NOM Prénom : TP n /5 DISTANT : CONCEPTS ET DIFFÉRENCES

REPUBLIQUE ALGERIENNE DEMOCRATIQUE ET POPULAIRE MINISTER DE L ENSEGNEMENT SUPERIEUR ET DE LA RECHERCHE SCIENTIFIQUE

Sécurisation du réseau

Configuration du matériel Cisco. Florian Duraffourg

Réseau - VirtualBox. Sommaire

TCP/IP, NAT/PAT et Firewall

NuFW Howto. Eric Leblond Vincent Deffontaines Jean Baptiste Favre

TAGREROUT Seyf Allah TMRIM

Le Tunneling DNS. P.Bienaimé X.Delot P.Mazon K.Tagourti A.Yahi A.Zerrouki. Université de Rouen - M2SSI. 24 février 2011

Rappel: Le routage dans Internet. Contraintes. Environnement et contraintes. La décision dans IP du routage: - Table de routage:

Transcription:

276 Linux Administration système et exploitation des services réseau Une fois cette manipulation effectuée, la machine Linux est prête à router les paquets se présentant sur ses interfaces. Ce paramètre est volatile et sera perdu dès la machine éteinte. Toutefois, on peut évidemment annuler le routage en effectuant l'opération inverse. Modification du fichier ip_forward pour désactiver le routage echo 0 > /proc/sys/net/ipv4/ip_forward Autre possibilité, la commande sysctl qui permet de modifier dynamiquement des paramètres fonctionnels du noyau. sysctl permet de modifier directement tous les fichiers se trouvant sous l'arborescence /proc/sys. Activation du routage avec sysctl sysctl net.ipv4.ip_forward=1 Ces commandes sont effectives toute la durée de la session et doivent être retapées après chaque redémarrage. On peut bien entendu les placer dans un script de service appelé au démarrage, ou modifier le fichier /etc/sysctl.conf. Activation permanente du routage dans le fichier /etc/sysctl.conf net.ipv4.ip_forward = 1 1.1.2 Consultation de la table de routage À ce stade, le routeur Linux est parfaitement capable de router les paquets. Toutefois, il ne pourra le faire que vers des réseaux connus, c'est-à-dire référencés dans sa table de routage. La table de routage est maintenue en mémoire mais elle peut être consultée par quelques commandes. Affichage de la table de routage par la commande route route -n Le paramètre -n est facultatif, mais il fait gagner beaucoup de temps à l'affichage car il dispense la commande de tenter de résoudre les adresses renvoyées en noms. Or, si l'adresse en question n'est pas renseignée dans une zone DNS inverse, cette requête se fait pour rien et il faut attendre plusieurs secondes pour que l'affichage arrive. Editions ENI - All rights reserved

Protection des réseaux Chapitre 9 277 Affichage de la table de routage par la commande netstat netstat -nr Où l'option -r demande à la commande d'afficher la table de routage et -n de ne pas faire de résolution de noms. La commande netstat a de nombreux usages, mais elle est souvent utilisée dans ce simple cadre de consultation de la table de routage. Exemple d'affichages de table de routage L'affichage de la table de routage est souvent le seul moyen simple de consulter la valeur de la passerelle par défaut. Destination Passerelle Genmask Indic Metric Ref Use Iface 1.1.3 Gestion des routes statiques Les seules entrées présentes automatiquement dans la table de routage sont les réseaux auxquels le routeur est directement connecté, ainsi que la passerelle par défaut. Le routeur peut donc exploiter ces entrées de la table de routage sans autre configuration. Si le routeur doit router des paquets vers d'autres réseaux, il faudra ajouter manuellement les routes dans la table de routage. Ajout de route statique dans la table de routage route add -net réseau_cible netmask masque gw routeur Ajout de route statique : options et paramètres -net La route ajoutée est celle d'un réseau (la cible pourrait être un hôte seul même si cette configuration est moins fréquente). réseau_cible L'adresse du réseau que la nouvelle route permet d'atteindre. masque Le masque de sous-réseaux associé à la nouvelle route. gw routeur Indique le routeur à emprunter pour atteindre le réseau cible.

278 Linux Administration système et exploitation des services réseau Ajout de passerelle par défaut route add default gw routeur route add -net 0.0.0.0 gw routeur Dans la deuxième syntaxe, 0.0.0.0 représente la route par défaut. Cette représentation de la route par défaut est universelle et applicable sur la quasi-totalité des systèmes exploitant une table de routage IP. Bien entendu, il est possible de supprimer les routes statiques qui ne sont plus nécessaires ou enregistrées par erreur. Suppression de route statique de la table de routage route del -net réseau_cible netmask masque Exemple d'ajout de route Destination Passerelle Genmask Indic Metric Ref Use Iface beta:~# route add -net 10.0.0.0 netmask 255.0.0.0 gw 192.168.1.99 Destination Passerelle Genmask Indic Metric Ref Use Iface 10.0.0.0 192.168.1.99 255.0.0.0 UG 0 0 0 eth1 Exemple de suppression de route beta:~# route del -net 10.0.0.0 netmask 255.0.0.0 Destination Passerelle Genmask Indic Metric Ref Use Ifac beta:~# Editions ENI - All rights reserved

Protection des réseaux Chapitre 9 279 1.2 Iptables Les iptables sont utilisées pour gérer le filtrage de paquets IP au sein d'un système Linux. Elles exploitent une commande unique : iptables, et se configurent par l'application successive de règles de gestion de paquets. Les iptables peuvent filtrer le trafic en transit dans un routeur Linux, mais aussi le trafic entrant et sortant de tout serveur ou poste de travail à une seule interface. Si les iptables constituent un outil très puissant de gestion du trafic, la médaille a son revers et leur configuration est tout sauf intuitive. Avec une approche structurée, on peut toutefois assez rapidement appréhender leur fonctionnement. Les paragraphes ci-après exposent les concepts fondamentaux des iptables, afin de les utiliser plus tard dans des configurations de parefeu. 1.2.1 Les tables Les iptables s'appuient sur des tables associées à un mode fonctionnel. Selon le type de règle que l'on souhaite ajouter au fonctionnement des iptables, on précisera la table associée. Les tables principales utilisées sont filter pour le filtrage de paquets et nat pour la translation d'adresses entre un réseau privé et un réseau public. La table filter est la table par défaut. Aussi, quand on établit une règle iptables dans un but de filtrer les paquets est-elle sous-entendue et donc non précisée. La table nat sert à la translation d'adresses et doit être systématiquement précisée quand elle est invoquée.

280 Linux Administration système et exploitation des services réseau 1.2.2 Les chaînes Une chaîne iptables représente un type de trafic du point de vue de sa circulation dans une machine. Les chaînes permettent de préciser si une règle doit s'appliquer à du trafic qui entre dans une machine, qui en sort ou qui la traverse. La chaîne INPUT désigne le trafic entrant, la chaîne OUTPUT désigne le trafic sortant, et la chaîne FORWARD désigne le trafic qui traverse la machine, entrant par une interface et sortant par une autre. Attention, même si un paquet qui traverse le routeur est d'un point de vue physique respectivement entrant, traversant et sortant, iptables le considérera comme traversant seulement (chaîne FORWARD). Les chaînes INPUT et OUTPUT sont réservées au trafic à destination ou en provenance explicite de l'hôte soumis aux règles. Une autre chaîne appelée POSTROUTING et utilisée dans la configuration du NAT a pour objet d'appliquer un traitement à un paquet après une opération de routage. Les chaînes sont toujours indiquées en majuscules dans une syntaxe iptables. 1.2.3 Les actions Quand une règle est satisfaite, une action est engendrée par le système sur le paquet testé. Les principales actions sont ACCEPT qui laisse passer le paquet et DROP, qui le détruit. Dans une syntaxe iptables, l'action (target dans le manuel en ligne) est annoncée par le paramètre -j. Les actions sont toujours indiquées en majuscules dans une syntaxe iptables. Editions ENI - All rights reserved

Protection des réseaux Chapitre 9 281 1.2.4 Le traitement des règles Les règles sont appliquées une par une à tout paquet filtré. Si une règle est satisfaite, une action est engagée sur le paquet et le traitement s'arrête. Si une règle n'est pas satisfaite, la règle suivante est testée. Dans le cas où aucune des règles n'est satisfaite, le paquet subit un traitement par défaut paramétré dans une règle spécifique appelée politique (policy). Il est possible d'afficher les règles appliquées dans l'ordre pour chacune des chaînes. Affichage des règles effectives iptables -L

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back