Vous êtes sur la page 1sur 3

TPSECUFILTRAGEDYNAMIQUE20062007

PrsentationduTP
utilisationd'unemachineVMWAREsousDEVILLINUXcommeserveur
lefirewallseravotrepostedetravailsousMandriva2007
lefirewalladeuxcartesrseauxeth0(interfaceexterne)etvmnet1(interfaceinterne)
addresseIPdurseauinterne10.1.0.0/24lefwen10.1.0.1etleserveuren10.1.0.10

quelquesindications:

iptablesDrgle :supprimeunergle
iptablesF :supprimeTOUTESLESREGLES
iptablesL :listelesrglesencours

exemples:iptablestfilterLnv(nsignifienumeric(pasdersolutiondnsetvverbose))

IPrparation

1Crerlerpertoire/tmp/votrelogin
dans/tmp/votreloginclaterlefichier~weill/vmwarefiltragedyn.tar.gzenutilisateurnormal
vrifiezquel'addressedel'interfacevmnet1estbien10.1.0.1
vrifiezquel'IPForwardingestactifsurvotrefirewall
regarderlescript/tmp/votrelogin/tp5/activatenatbidir.sh
modifierl'addresseIP_SECONDARYetventuellementINTERFACEsicen'estpaseth0
puisl'excutersurlamandrivasousROOT
ilestaussiimportantdevrifierqu'iln'yapasdemessagesd'erreurs

2pourlancerlamachinevirtuellelacommandesefaitenutilisateur(PASROOT)est:
cd/tmp/votrelogin/tp5
vmplayerlinux.vmx
ellebootesuruneimageisobootcd.iso
ellesauvegardesaconfigsurunedisquettevirtuellefloppyconfig

3configurationdeladevil
loginroot
motdepasse:azerty

LesetupestdjprdfinicommedansleTPprcdentsurNAT

Apartirdelilvousfaudraquatreterminaux:
unsurlamachinevirtuelle(viassh)
unsurlefirewallenroot
unsurlefirewallsimpleutilisateur
unsursrvlnx.formation.jussieu.frpourjouerlerledeclientexterne
surlefirewall(votremandriva2007)diterlefichier/etc/sysconfig/syslog
ajouterrlavariableSYSLOGD_OPTION
cecipouraccepterleslogsdistants(UDPport514)
redmarrerleservicesyslog:
/etc/init.d/syslogrestart

Leslogsdelamachinevirtuelleserontdisponiblesdanslefichier/var/log/messagesdelamandriva2007

IIFiltragesurlamachinevirtuelle

Normalementsilesetupestbonunpingdepuisleclientdoitfonctionner
vrifierpartcpdumpsurleserveurvirtuel

toutpaquetvenantdelamachinevirtuellesortaveccommeadressel'adressesecondairedufirewall
192.168.216.1XX(1XXtantl'adressedevotreposte+100)
toutpaquetdestinationdel'adresse192.168.216.1XXestredirigsurlamachine10.1.0.10

surlamachinevirtuelle,dans/etc/init.dvousavezunscriptappelfirewall.rules
c'esticiquevousdevrezmettrevosrglesencommenantparcommenterles2lignessuivantes
iptablesAINPUTieth0jLOGlogprefix'FIRSTACCEPT'
iptablesAINPUTieth0jACCEPT

lisezlepourlecomprendre

pourredmarrerlesrgleslacommandesest:
/etc/init.d/firewallrestart
poursupprimertouteslesrgles
/etc/init.d/firewallstop

1expliquerlarglesuivantesetrouvantdansfirewall.rules

iptablesAINPUTmstatestateESTABLISHED,RELATEDjACCEPT

2autoriserSSHverslamachinevirtuelleuniquementdepuis10.1.0.1

3autorisezICMPverslamachinevirtuelledepartoutsauflerseau10.1.0.0/24

4autoriserleftpavecsuivideconnexionsdepuispartout

faitesdesessaisdepuislefirewallenmodeactifetpassif
qu'enconcluezvous

chargerlemodulesdesuivideconnexionduprotocolftp
surleserveurvirtuelparlacommandesuivante:
modprobeip_conntrack_ftp
etrefaiteslestestsdepuislefirewall

Maintenantrefaitesletestdepuisunclientexterne
enfaitcelanemarchepascorrectementcarlapartietranslationd'adressesurlefirewalldoitavoirunmodule
pourpouvoirchangerlesadressesquisonttransmisesdanslesdonnesdupaquets
surlefirewallilfautchargerlemodulesip_nat_ftp(modprobeip_nat_ftp)

IIIFILTRAGEsurlefirewall

IMPORTANTDESACTIVEZTOUTESLESREGLESDEFILTRAGESURLESERVEURVIRTUEL

dans/tmp/votrelogin/tp5ilyaunShellScriptiptablesfw.sh

lelirepuisl'excutersousROOT

PartieA
Vrifierquelamachinesvirtuelleestbienfiltredansles2sens(viassh,nmapoupingparexemple)toutenregardant
leslogs(rappeldelacommande:tailf/var/log/messages)
Quellergleapermiscefiltragetotal?

Autoriseruneconnexionsshsurlamachinevirtuelle10.1.0.10depuisl'extrieur(clientexterne)ainsiquesargledelog
associe(enluidonnantunnomclairpourl'identifier)
Aidezvousdeslogspourcomprendrelesproblmes
Queconcluezvous?

PartieB
1)Crationdezonedefiltrage
Pourfaciliterletravaildefiltrage,onvas'aiderdelapossibilitoffertepariptablesdecrerdeschanesutilisateurs
(iptablesNchanes).

Oncommenceparcrer:
unechaneINTERNETverslerseaupriv(LAN)quiestnomme:I2L
unechaneLANversl'extrieur(INTERNET)quiestnomme:L2I
unechanedelogpourlesaccsautorissquiestnomme:LOGnACCEPT
unechanedelogpourlesaccsrefussquiestnomme:LOGnDROP

Oncontinueparcrer:
lesdiffrentesrglesdelogsassociesaux2chanesdelogs(LOGnACCEPTetLOGnDROP)prcdemment
cres(donnertoujoursunprfixed'identificationsimpleetclair).
CrerlesrglesdeforwardassociesauxchanesL2IetI2L

2)Autorisertouttrafic(sanslogs)durseauprivversl'extrieur.

3)Autoriserssh,puisping(avecleslogs)depuisl'extrieurverslamachinevirtuelle10.1.0.10.

Nepasoublierdemettreenplaceunergledesuividesession.Pourquoi?

4)Autoriserftp(avecleslogs)depuisl'extrieurverslamachinevirtuelle10.1.0.10.