Académique Documents
Professionnel Documents
Culture Documents
PrsentationduTP
utilisationd'unemachineVMWAREsousDEVILLINUXcommeserveur
lefirewallseravotrepostedetravailsousMandriva2007
lefirewalladeuxcartesrseauxeth0(interfaceexterne)etvmnet1(interfaceinterne)
addresseIPdurseauinterne10.1.0.0/24lefwen10.1.0.1etleserveuren10.1.0.10
quelquesindications:
iptablesDrgle :supprimeunergle
iptablesF :supprimeTOUTESLESREGLES
iptablesL :listelesrglesencours
exemples:iptablestfilterLnv(nsignifienumeric(pasdersolutiondnsetvverbose))
IPrparation
1Crerlerpertoire/tmp/votrelogin
dans/tmp/votreloginclaterlefichier~weill/vmwarefiltragedyn.tar.gzenutilisateurnormal
vrifiezquel'addressedel'interfacevmnet1estbien10.1.0.1
vrifiezquel'IPForwardingestactifsurvotrefirewall
regarderlescript/tmp/votrelogin/tp5/activatenatbidir.sh
modifierl'addresseIP_SECONDARYetventuellementINTERFACEsicen'estpaseth0
puisl'excutersurlamandrivasousROOT
ilestaussiimportantdevrifierqu'iln'yapasdemessagesd'erreurs
2pourlancerlamachinevirtuellelacommandesefaitenutilisateur(PASROOT)est:
cd/tmp/votrelogin/tp5
vmplayerlinux.vmx
ellebootesuruneimageisobootcd.iso
ellesauvegardesaconfigsurunedisquettevirtuellefloppyconfig
3configurationdeladevil
loginroot
motdepasse:azerty
LesetupestdjprdfinicommedansleTPprcdentsurNAT
Apartirdelilvousfaudraquatreterminaux:
unsurlamachinevirtuelle(viassh)
unsurlefirewallenroot
unsurlefirewallsimpleutilisateur
unsursrvlnx.formation.jussieu.frpourjouerlerledeclientexterne
surlefirewall(votremandriva2007)diterlefichier/etc/sysconfig/syslog
ajouterrlavariableSYSLOGD_OPTION
cecipouraccepterleslogsdistants(UDPport514)
redmarrerleservicesyslog:
/etc/init.d/syslogrestart
Leslogsdelamachinevirtuelleserontdisponiblesdanslefichier/var/log/messagesdelamandriva2007
IIFiltragesurlamachinevirtuelle
Normalementsilesetupestbonunpingdepuisleclientdoitfonctionner
vrifierpartcpdumpsurleserveurvirtuel
toutpaquetvenantdelamachinevirtuellesortaveccommeadressel'adressesecondairedufirewall
192.168.216.1XX(1XXtantl'adressedevotreposte+100)
toutpaquetdestinationdel'adresse192.168.216.1XXestredirigsurlamachine10.1.0.10
surlamachinevirtuelle,dans/etc/init.dvousavezunscriptappelfirewall.rules
c'esticiquevousdevrezmettrevosrglesencommenantparcommenterles2lignessuivantes
iptablesAINPUTieth0jLOGlogprefix'FIRSTACCEPT'
iptablesAINPUTieth0jACCEPT
lisezlepourlecomprendre
pourredmarrerlesrgleslacommandesest:
/etc/init.d/firewallrestart
poursupprimertouteslesrgles
/etc/init.d/firewallstop
1expliquerlarglesuivantesetrouvantdansfirewall.rules
iptablesAINPUTmstatestateESTABLISHED,RELATEDjACCEPT
2autoriserSSHverslamachinevirtuelleuniquementdepuis10.1.0.1
3autorisezICMPverslamachinevirtuelledepartoutsauflerseau10.1.0.0/24
4autoriserleftpavecsuivideconnexionsdepuispartout
faitesdesessaisdepuislefirewallenmodeactifetpassif
qu'enconcluezvous
chargerlemodulesdesuivideconnexionduprotocolftp
surleserveurvirtuelparlacommandesuivante:
modprobeip_conntrack_ftp
etrefaiteslestestsdepuislefirewall
Maintenantrefaitesletestdepuisunclientexterne
enfaitcelanemarchepascorrectementcarlapartietranslationd'adressesurlefirewalldoitavoirunmodule
pourpouvoirchangerlesadressesquisonttransmisesdanslesdonnesdupaquets
surlefirewallilfautchargerlemodulesip_nat_ftp(modprobeip_nat_ftp)
IIIFILTRAGEsurlefirewall
IMPORTANTDESACTIVEZTOUTESLESREGLESDEFILTRAGESURLESERVEURVIRTUEL
dans/tmp/votrelogin/tp5ilyaunShellScriptiptablesfw.sh
lelirepuisl'excutersousROOT
PartieA
Vrifierquelamachinesvirtuelleestbienfiltredansles2sens(viassh,nmapoupingparexemple)toutenregardant
leslogs(rappeldelacommande:tailf/var/log/messages)
Quellergleapermiscefiltragetotal?
Autoriseruneconnexionsshsurlamachinevirtuelle10.1.0.10depuisl'extrieur(clientexterne)ainsiquesargledelog
associe(enluidonnantunnomclairpourl'identifier)
Aidezvousdeslogspourcomprendrelesproblmes
Queconcluezvous?
PartieB
1)Crationdezonedefiltrage
Pourfaciliterletravaildefiltrage,onvas'aiderdelapossibilitoffertepariptablesdecrerdeschanesutilisateurs
(iptablesNchanes).
Oncommenceparcrer:
unechaneINTERNETverslerseaupriv(LAN)quiestnomme:I2L
unechaneLANversl'extrieur(INTERNET)quiestnomme:L2I
unechanedelogpourlesaccsautorissquiestnomme:LOGnACCEPT
unechanedelogpourlesaccsrefussquiestnomme:LOGnDROP
Oncontinueparcrer:
lesdiffrentesrglesdelogsassociesaux2chanesdelogs(LOGnACCEPTetLOGnDROP)prcdemment
cres(donnertoujoursunprfixed'identificationsimpleetclair).
CrerlesrglesdeforwardassociesauxchanesL2IetI2L
2)Autorisertouttrafic(sanslogs)durseauprivversl'extrieur.
3)Autoriserssh,puisping(avecleslogs)depuisl'extrieurverslamachinevirtuelle10.1.0.10.
Nepasoublierdemettreenplaceunergledesuividesession.Pourquoi?
4)Autoriserftp(avecleslogs)depuisl'extrieurverslamachinevirtuelle10.1.0.10.