Vous êtes sur la page 1sur 4

Universit de Reims ChampagneArdenne UFR Sciences Exactes et Naturelles Dpartement MathmatiquesInformatique

Licence 3 MMI INFO 0503


(B.S. H AGGAR , H. BAALA )

Travaux pratiques No 6

Exercice 1 (Rseau local sans l) Nous disposons dun routeur haut dbit sans l G de Linksys et dun ensemble dadaptateurs USB2 rseau sans l 802.11g. On propose de crer un rseau local sans l. 1 ) Branchez votre adaptateur USB rseau sans l (utilisez le socle) et reconnaissez linterface rseau sans l utiliser en ifconfig -a iwlist scan

dressant la liste de vos interfaces rseau : 2 )

Scannez la couverture radio porte et reconnaissez le nom (essid) du point daccs utiliser : Vous aurez pralablement besoin, si ncessaire, dactiver votre interface rseau sans l : Le ? reprsente le numro que porte votre interface rseau sans l.

ifconfig wlan? up

3 )

Associez votre interface rseau sans l au point daccs trouv la question prcdente : ensuite congurez votre adresse IP.

iwconfig wlan? essid nom_borne channel c 4 ) 5 ) 6 ) 7 )

vriez que vous tes bien en rseau en utilisant la commande ping. Activez quelques services inetd, telnet et/ou ftp par exemple (consultez le chier /etc/inetd.conf). Consultez la documentation de la commande nmap et utilisezla pour connatre les services offerts par un hte.

Autorisez/interdisez laccs votre machine (consultez la documentation propos des chiers /etc/hosts.allow et /etc/hosts.deny 8 ) Consultez la documentation propos de la commande netstat et utilisezla (nous reviendrons dessus plus bas).

Exercice 2 (Network Address Translation) J Prambule. Pour cet exercice, nous formons des groupes x qui utiliseront chacun un rseau priv dont le masque est sur 28 bits comme indiqu dans le tableau suivant : x 1 x identit Groupe 1 Groupe x adresse 192.168.1.16/28 192.168.1.(x << 4)/28

Chaque groupe utilisera 3 machines, groupes selon le schma suivant :

Au sein de chaque groupe x les machines notes H1 et H2 seront les htes du rseau priv et auront respectivement comme adresse IP 192.168.1.(x << 4 + 1) et 192.168.1.(x << 4 + 2) la machine note F fera ofce de routeurrewall. Elle aura donc deux adresses, lune tant son adresse IP publique (192.168.1.x) et lautre tant ladresse IP 192.168.1.(x << 4 + 14) dans le rseau priv. J sur la machine F (routeurrewall) 1 ) Congurez une interface rseau laire (eth0) et la table de routage correspondante 2 ) Activez le routage avec la commande : echo 1 > /proc/sys/net/ipv4/ip_forward

L3 MMI INFO 0503

2/4

supprimer galement la redirection de route (ICMP redirect) echo 0 > /proc/sys/net/ipv4/conf/all/send_redirects echo 0 > /proc/sys/net/ipv4/conf/eth0/send_redirects J sur les clients (H1 et H2) 3 ) congurez linterface rseau et la table de routage par le moyen que vous connaissez. 4 ) Vriez que depuis chaque machine de votre rseau priv, vous pouvez atteindre lautre machine avec la commande ping. 5 ) Essayez datteindre avec un ping une machine extrieure de votre choix. J Recherche des services ouverts. sur sa machine. Avant de commencer installer des ltres, il est intressant dobserver son systme et de voir quels services sont accessibles (ouverts). Utilisez la commande netstat. 6 ) Lancez la commande : netstat -ltp et dterminez le rle de chacune des options l t et p.

7 ) Quelles informations pouvezvous tirer du rsultat de cette commande ? Comment connatre la liste des services UDP ouverts sur la machine ? Les noms, numros et protocoles des diffrents services sont lists dans le chier /etc/services. sur une machine distante. On peut utiliser pour cela loutil nmap. En effet nmap permet de vrier si des ordinateurs sont relis au rseau (ping amlior), de scanner les ports de ces ordinateurs et enn de dterminer leur systme dexploitation. Pour plus dinformations concernant nmap, consultez le manuel (man nmap). Dans une fentre, lancez la commande : nmap -sS 192.168.1.1

8 ) Quelles informations pouvezvous tirer du rsultat de cette commande ? 9 ) En vous aidant du manuel, expliquez quelle technique de scan fait appel loption -sS ? Lancez prsent les deux commandes lune la suite de lautre : et 10 ) 11 ) nmap -O 192.168.1.2 Quelles informations supplmentaires pouvezvous tirer du rsultat de ces commandes ? nmap -O 10.21.2.254

Autorisez le routage des paquets venant du rseau priv

iptables -A FORWARD -i interface -s 192.168.1.($x<<4$)/28 -j ACCEPT 12 ) Activez le camouage IP :

iptables -A POSTROUTING -t nat -j MASQUERADE -o interface 13 ) Vriez la conguration du parefeu. Le routage des paquets venant du rseau priv doit tre autoris :

root@pctp$ iptables -L Chain INPUT (policy ACCEPT) Chain FORWARD (policy ACCEPT) target prot opt source ACCEPT all -192.168.1.($x<<4$)/24 Chain OUTPUT (policy ACCEPT)

destination anywhere

Travaux pratiques No 6

L3 MMI INFO 0503

3/4

Le camouage doit tre activ : root@pctp$ iptables -t nat -L Chain PREROUTING (policy ACCEPT) target prot opt source Chain POSTROUTING (policy ACCEPT) target prot opt source MASQUERADE all -anywhere Chain OUTPUT (policy ACCEPT) target prot opt source

destination destination anywhere destination

Pour vous assurer que la conguration est correcte, depuis les deux machines de votre rseau priv : 14 ) Utilisez la commande ping pour atteindre 10.21.2.254.

J Mise en place de rgles de ltrage simples. Pour apprendre manipuler les rgles de ltrage, nous allons commencer par bloquer le ping sur ladresse de bouclage (127.0.0.1) de chaque machine. 15 ) Vriez que votre interface de bouclage fonctionne correctement (0% des paquets perdus) :

ping -c 4 127.0.0.1 16 ) Crez une nouvelle chane utilisateur nomme LOG_DROP pour la fois rejeter les paquets et enregistrer dans le journal (chier /var/log/messages) les paquets rejets. iptables -N LOG_DROP iptables -A LOG_DROP -j LOG iptables -A LOG_DROP -j DROP 17 ) Appliquez un ltre sur la chane dentre INPUT : iptables -A INPUT -p icmp -s 127.0.0.1 -j LOG_DROP 18 ) Vriez que votre modication a bien t prise en compte en afchant la chane INPUT : iptables -L INPUT 19 ) Ouvrez un autre shell dans un terminal, puis tapez la commande : tail -f /var/log/messages Dans le terminal initial, essayez de faire nouveau le ping ; la connexion ne doit pas pouvoir aboutir (100% des paquets perdus). Observez les messages qui safchent au fur et mesure dans le terminal dans lequel vous avez lanc la commande tail. 20 ) Supprimez la rgle (de numro 1) sur la chane INPUT : iptables -D INPUT 1 // ou bien iptables -D INPUT -p icmp -s 127.0.0.1 -j LOG_DROP 21 ) Trouvez une rgle sur le routeurrewall pour interdire le ping depuis nimporte quelle machine de votre rseau priv. Une fois que vous avez test le bon fonctionnement de la rgle depuis les deux machines, supprimezla sur le routeurrewall.

Travaux pratiques No 6

L3 MMI INFO 0503

4/4

J Mise en place de rgles de ltrage plus lbores. Pour la redirection des connexions sur un port spcique vers une machine du rseau priv :
iptables -t nat -A PREROUTING -p tcp -d IP --dport port_initial -j DNAT --to IP_prive/port_final

Ceci redirige toutes les connexions entrantes IP sur le port port_initial vers IP_prive/port_nal.

Travaux pratiques No 6