Comptence : Mettre en oeuvre le routage filtrant et la translation dadresses

CONTENU

1 partie : le routage filtrant

1. Configurer les connexions IP

se rfrer au schma ci-dessus pour configurer les connexions et les tester.

Ne pas oublier de configurer la passerelle par dfaut sur le poste client

2. activer la fonction de routage

Pour permettre le routage sur la passerelle :

echo 1 > /proc/sys/net/ipv4/ip_forward
puis vrifer que la valeur 1 est bien dans le fichier :
cd /proc/sys/net/ipv4
cat ip_forward
Rendre ces modifications effectives par la relance du dmon network. Taper :
service networking restart

3. Mise en place du filtrage : initialisation des tables

Nous vidons toutes les chanes, pour partir sur des bases saines. Attention cette
commande qui est radicale et qui ne demande pas de confirmation.
iptables -F
Nous effaons les chanes personnelles (sil y en a)
iptables -X
Nous allons tout fermer au niveau de la passerelle dans la table "filter"
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
Vrifier que :
o Tous les "ping" partir ou destination du rseau public ne rpondent pas
o un ping du poste client (rseau priv) vers la passerelle ne rpond pas
o un ping de la passerelle vers le rseau priv ne rpond pas
o un ping de la passerelle sur ladresse de loopback ne rpond pas

5. Autoriser les communications entre la passerelle et le rseau local

Nous autorisons tout dabord la passerelle communiquer avec elle-mme. Certains

processus locaux en ont besoin.
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
Nous autorisons la communication avec le rseau priv (eth0)
iptables -A INPUT -i eth0 -j ACCEPT
iptables -A OUTPUT -o eth0 -j ACCEPT
Vrifier que :
o Tous les "ping" partir ou destination du rseau public ne rpondent pas
o un ping du poste client (rseau priv) vers la passerelle rpond
o un ping de la passerelle vers le rseau priv rpond
o un ping de la passerelle sur ladresse de loopback rpond

6. recherche d'informations

En vous appuyant sur laide diptables (man iptables), indiquer les instructions
suivantes :
o Instruction pour afficher les rgles de la table "filter" iptable -L
o Instruction pour restreindre internet une plage dadresses IP du rseau local
(192.168.10.0) iptables -R INPUT 1 -s 192.168.0.0 -j DROP
o Instruction pour restreindre internet une adresse IP dfinie (192.168.10.4)
iptables -A INPUT -p http --source ! 10.42.42.42 -j DROP
o

Instruction pour dtruire la rgle ci-dessus.

7. Accorder des autorisations de passage sur FORWARD

Netfilter est un pare-feu (firewall) "stateful". Il est possible de prendre des dcisions pour les
paquets correspondant une connexion tablie (ESTABLISHED), une nouvelle connnexion
(NEW), ou une nouvelle connexion correspondant une connexion dj tablie (RELATED).

Nous voulons
o autoriser toutes les connexions nouvelles, tablies, et associes qui entrent par
eth0 (rseau local) et veulent sortir par eth1 (internet).
iptables -A FORWARD -i eth0 -o eth1 -m state state
NEW,ESTABLISHED,RELATED -j ACCEPT
o autoriser toutes les connexions tablies et associes qui entrent par eth1 et
sortir par eth0
iptables -A FORWARD -i eth1 -o eth0 -m state state
ESTABLISHED,RELATED -j ACCEPT
Tester les connexions partir du client vers le serveur
Attention, depuis la passerelle, il est toujours possible daccder au rseau public. Il
faudrait modifier les chanes INPUT et OUTPUT ;

8. Autoriser laccs un serveur WEB local depuis lextrieur.

Prparation : Configurer rapidement un serveur Web sur le poste client

Faire correspondre dans le NAT, ladresse publique du routeur vers ladresse du
serveur Web local pour le port 80. Laction DNAT permet de spcifier une nouvelle
adresse dsigne par to
iptables -A PREROUTING -t nat -i eth1 -p tcp dport 80 -j DNAT to
192.168.10.10

Autoriser laccs au serveur WEB local dans la table "filter"

iptables -A FORWARD -m state state NEW -i eth1 -p tcp dport 80 -j ACCEPT
Afficher le contenu des tables :
iptables -L
iptables -L -t nat
tester partir du poste 62.150.10.10, avec IE laccs http://192.168.10.10/

9. Sauvegarder cette configuration

iptables-save> /etc/iptableSvg.conf
Editer le contenu de /etc/iptableSvg.conf. Commentez :
Taper les commandes suivantes :
iptables -F
iptables -L -v line-numbers
Que pouvez-vous constater ?
iptables-restore < /etc/iptableSvg.conf
iptables -L -v line-numbers
Que pouvez-vous constater ?
Si on ajoute plusieurs rgles iptables, lordre a-t-il une importance ?

10. Interprter des rgles de filtrage

A laide des pages du manuel (man iptables), indiquer la politique suivie par la rgle
suivante :
iptables -A INPUT -s 173.17.0.0/16 -p tcp dport 80 - j REJECT reject-withicmpnet-prohibited
Sur une machine, lhistorique des commandes (# history) fait apparatre les lignes
suivantes :
# iptables -P FORWARD DROP
# iptables -P OUTPUTDROP
# iptables -P INPUT DROP
# iptables -A FORWARD -p icmp -j ACCEPT
# iptables -A OUTPUT-p icmp -j ACCEPT
# iptables -A INPUT-p icmp -j ACCEPT
# iptables -A FORWARD -p tcp -s 173.17.0.0/16 -d 192.168.218.1 dport 80 -j
ACCEPT
# iptables -A FORWARD -s 192.168.218.1 -p TCP sport 80 -j ACCEPT
# iptables -A INPUT -s 192.168.218.1 -p TCP dport 23 -j ACCEPT
# iptables -A OUTPUT-s 192.168.218.1 -p TCP sport 23 -j ACCEPT
# echo 1 > /proc/sys/net/ipv4/ip_forward
# iptables -L
Expliquez la politique suivie sur cette machine.
Peut-on dire que cette machine met en oeuvre du masquerading ? Justifier votre
rponse.

11. Interdire laccs aux serveurs ftp de l internet

Ajouter une rgle avec iptables, pour interdire laccs aux serveurs FTP situs sur le
rseau extrieur, partir du poste client.

Attention la position de la rgle (voir le paramte -I)

Indiquer cette rgle :
Tester partir du poste client une connexion FTP sur le serveur
Sauvegarder la nouvelle configuration
iptatbles-save> /etc/iptableTp.conf