Académique Documents
Professionnel Documents
Culture Documents
CONTENU
Nous vidons toutes les chanes, pour partir sur des bases saines. Attention cette
commande qui est radicale et qui ne demande pas de confirmation.
iptables -F
Nous effaons les chanes personnelles (sil y en a)
iptables -X
Nous allons tout fermer au niveau de la passerelle dans la table "filter"
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
Vrifier que :
o Tous les "ping" partir ou destination du rseau public ne rpondent pas
o un ping du poste client (rseau priv) vers la passerelle ne rpond pas
o un ping de la passerelle vers le rseau priv ne rpond pas
o un ping de la passerelle sur ladresse de loopback ne rpond pas
6. recherche d'informations
En vous appuyant sur laide diptables (man iptables), indiquer les instructions
suivantes :
o Instruction pour afficher les rgles de la table "filter" iptable -L
o Instruction pour restreindre internet une plage dadresses IP du rseau local
(192.168.10.0) iptables -R INPUT 1 -s 192.168.0.0 -j DROP
o Instruction pour restreindre internet une adresse IP dfinie (192.168.10.4)
iptables -A INPUT -p http --source ! 10.42.42.42 -j DROP
o
Netfilter est un pare-feu (firewall) "stateful". Il est possible de prendre des dcisions pour les
paquets correspondant une connexion tablie (ESTABLISHED), une nouvelle connnexion
(NEW), ou une nouvelle connexion correspondant une connexion dj tablie (RELATED).
Nous voulons
o autoriser toutes les connexions nouvelles, tablies, et associes qui entrent par
eth0 (rseau local) et veulent sortir par eth1 (internet).
iptables -A FORWARD -i eth0 -o eth1 -m state state
NEW,ESTABLISHED,RELATED -j ACCEPT
o autoriser toutes les connexions tablies et associes qui entrent par eth1 et
sortir par eth0
iptables -A FORWARD -i eth1 -o eth0 -m state state
ESTABLISHED,RELATED -j ACCEPT
Tester les connexions partir du client vers le serveur
Attention, depuis la passerelle, il est toujours possible daccder au rseau public. Il
faudrait modifier les chanes INPUT et OUTPUT ;
iptables-save> /etc/iptableSvg.conf
Editer le contenu de /etc/iptableSvg.conf. Commentez :
Taper les commandes suivantes :
iptables -F
iptables -L -v line-numbers
Que pouvez-vous constater ?
iptables-restore < /etc/iptableSvg.conf
iptables -L -v line-numbers
Que pouvez-vous constater ?
Si on ajoute plusieurs rgles iptables, lordre a-t-il une importance ?
A laide des pages du manuel (man iptables), indiquer la politique suivie par la rgle
suivante :
iptables -A INPUT -s 173.17.0.0/16 -p tcp dport 80 - j REJECT reject-withicmpnet-prohibited
Sur une machine, lhistorique des commandes (# history) fait apparatre les lignes
suivantes :
# iptables -P FORWARD DROP
# iptables -P OUTPUTDROP
# iptables -P INPUT DROP
# iptables -A FORWARD -p icmp -j ACCEPT
# iptables -A OUTPUT-p icmp -j ACCEPT
# iptables -A INPUT-p icmp -j ACCEPT
# iptables -A FORWARD -p tcp -s 173.17.0.0/16 -d 192.168.218.1 dport 80 -j
ACCEPT
# iptables -A FORWARD -s 192.168.218.1 -p TCP sport 80 -j ACCEPT
# iptables -A INPUT -s 192.168.218.1 -p TCP dport 23 -j ACCEPT
# iptables -A OUTPUT-s 192.168.218.1 -p TCP sport 23 -j ACCEPT
# echo 1 > /proc/sys/net/ipv4/ip_forward
# iptables -L
Expliquez la politique suivie sur cette machine.
Peut-on dire que cette machine met en oeuvre du masquerading ? Justifier votre
rponse.
Ajouter une rgle avec iptables, pour interdire laccs aux serveurs FTP situs sur le
rseau extrieur, partir du poste client.