Académique Documents
Professionnel Documents
Culture Documents
Firewall : NetFilter
I- Introduction :
NetFilter et iptables :
Les noyaux 2.4 et suprieurs de Linux contiennent un logiciel trs puissant de filtrage de paquets IP appell NetFilter et qui utilise iptables. Il remplace ipchains, utilis sur les noyaux 2.2.
du filtrage de paquets (FILTER) de la translation d'adresses ou de ports (NAT) de la modification ou du marquage de paquets la vole (MANGLE)
Dfinitions :
Table : Un paquet qui arrive est vrifi par une table pour savoir si il a le droit d'aller o il veut. Ces tables sont constitues de chanes. < FILTER | NAT | MANGLE > Chane : Suite de rgles constitues de motifs et de cibles. Elle peuvent tre : < INPUT | OUTPUT | PREROUTING | FORWARD | POSTROUTING > Motif : Permet de distinguer un paquet selon un ou plusieurs critres : < Protocole | adresse source | adresse de destination | un ou plusieurs ports | port source | port de destination > Cible : Dcision prise quand le paquet est reconnu par le motif. < ACCEPT | DENY | DROP | MASQUERADE | REDIRECT | DNAT | SNAT | ... >
Page 1
Firewall : Netfilter
Rgles de filtrage :
Commande iptables :
La commande iptables permet d'ajouter, de modifier ou de supprimer des rgles de filtrage :
Page 2
Firewall : Netfilter
Page 3
Firewall : Netfilter
Les rgles vont alors tre crites dans ce fichier et pourront tre restaures trs facilement :
iptables-restore < votre_fichier
Je vous conseille de sauvegarder vos tables chaque fois que vous voulez tester une configuration et surtout de sauvegarder la configuration d'origine pour pouvoir la restaurer en cas de problme.
Page 4
Firewall : Netfilter
adresses MAC adresses IP interfaces protocoles (ICMP, TCP ou UDP) ports tats de connexion flag TCP
Page 5
Firewall : Netfilter
III- NAT
Explications :
Le NAT (Network Address Translation) est un procd mis en place sur un routeur permettant de passer d'un adresse IP une autre ou d'un socket (couple adresse IP+Port) un autre.
Nat statique :
Le NAT statique permet simplement de transformer une adresse IP en une autre.
On se sert souvent de ce type de NAT pour n'utiliser qu'une adresse IP publique et cacher les autres machines du LAN qui utilisent des adresses IP prives (IP Masquerading : masquage d'adresses).
Page 6
Firewall : Netfilter
Translation de port
Dans un rseau IP priv, il se peut qu'une machine doive tre accessible depuis l'extrieur par exemple parce qu'elle hberge un serveur. Dans ce cas, il faudra utiliser la redirection de ports : Rediriger les requtes destination du port de ce serveur vers l'adresse IP de ce serveur.
Translation de port :
Exemple avec un serveur Web hberg l'adresse locale 192.168.0.100 alors que le routeur a l'adresse publique 2.3.4.5 : iptables -t nat -A PREROUTING -p tcp --dport 80 -i eth1 -j DNAT --to 192.168.0.100
Page 7
Firewall : Netfilter
La Linux :
http://lea-linux.org/cached/index/Reseau-secu-iptables.html http://lea-linux.org/cached/index/Reseau-secu-pont-filtrant.html
Scurit et Firewall :
http://olivieraj.free.fr/fr/linux/information/firewall/
TP sur Netfilter :
http://christian.caleca.free.fr/netfilter/
Page 8