Scribd Logo
Importer

Bienvenue sur Scribd !

  • TP Secu Filtrage Dyn 2007

    Transféré par

    Knowlegde2016
    38 vues3 pages
    sécurité info

    Titre original

    Tp Secu Filtrage Dyn 2007

    Copyright

    © © All Rights Reserved

    Formats disponibles

    PDF, TXT ou lisez en ligne sur Scribd

    Avez-vous trouvé ce document utile ?

    Ce contenu est-il inapproprié ?

    Signaler ce document
    sécurité info

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd
    Signaler comme contenu inapproprié
    38 vues3 pages

    TP Secu Filtrage Dyn 2007

    Transféré par

    Knowlegde2016
    sécurité info

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd
    Signaler comme contenu inapproprié
    sur 3

    TPSECUFILTRAGEDYNAMIQUE20062007

    PrsentationduTP
    utilisationd'unemachineVMWAREsousDEVILLINUXcommeserveur
    lefirewallseravotrepostedetravailsousMandriva2007
    lefirewalladeuxcartesrseauxeth0(interfaceexterne)etvmnet1(interfaceinterne)
    addresseIPdurseauinterne10.1.0.0/24lefwen10.1.0.1etleserveuren10.1.0.10

    quelquesindications:

    iptablesDrgle :supprimeunergle
    iptablesF :supprimeTOUTESLESREGLES
    iptablesL :listelesrglesencours

    exemples:iptablestfilterLnv(nsignifienumeric(pasdersolutiondnsetvverbose))

    IPrparation

    1Crerlerpertoire/tmp/votrelogin
    dans/tmp/votreloginclaterlefichier~weill/vmwarefiltragedyn.tar.gzenutilisateurnormal
    vrifiezquel'addressedel'interfacevmnet1estbien10.1.0.1
    vrifiezquel'IPForwardingestactifsurvotrefirewall
    regarderlescript/tmp/votrelogin/tp5/activatenatbidir.sh
    modifierl'addresseIP_SECONDARYetventuellementINTERFACEsicen'estpaseth0
    puisl'excutersurlamandrivasousROOT
    ilestaussiimportantdevrifierqu'iln'yapasdemessagesd'erreurs

    2pourlancerlamachinevirtuellelacommandesefaitenutilisateur(PASROOT)est:
    cd/tmp/votrelogin/tp5
    vmplayerlinux.vmx
    ellebootesuruneimageisobootcd.iso
    ellesauvegardesaconfigsurunedisquettevirtuellefloppyconfig

    3configurationdeladevil
    loginroot
    motdepasse:azerty

    LesetupestdjprdfinicommedansleTPprcdentsurNAT

    Apartirdelilvousfaudraquatreterminaux:
    unsurlamachinevirtuelle(viassh)
    unsurlefirewallenroot
    unsurlefirewallsimpleutilisateur
    unsursrvlnx.formation.jussieu.frpourjouerlerledeclientexterne
    surlefirewall(votremandriva2007)diterlefichier/etc/sysconfig/syslog
    ajouterrlavariableSYSLOGD_OPTION
    cecipouraccepterleslogsdistants(UDPport514)
    redmarrerleservicesyslog:
    /etc/init.d/syslogrestart

    Leslogsdelamachinevirtuelleserontdisponiblesdanslefichier/var/log/messagesdelamandriva2007

    IIFiltragesurlamachinevirtuelle

    Normalementsilesetupestbonunpingdepuisleclientdoitfonctionner
    vrifierpartcpdumpsurleserveurvirtuel

    toutpaquetvenantdelamachinevirtuellesortaveccommeadressel'adressesecondairedufirewall
    192.168.216.1XX(1XXtantl'adressedevotreposte+100)
    toutpaquetdestinationdel'adresse192.168.216.1XXestredirigsurlamachine10.1.0.10

    surlamachinevirtuelle,dans/etc/init.dvousavezunscriptappelfirewall.rules
    c'esticiquevousdevrezmettrevosrglesencommenantparcommenterles2lignessuivantes
    iptablesAINPUTieth0jLOGlogprefix'FIRSTACCEPT'
    iptablesAINPUTieth0jACCEPT

    lisezlepourlecomprendre

    pourredmarrerlesrgleslacommandesest:
    /etc/init.d/firewallrestart
    poursupprimertouteslesrgles
    /etc/init.d/firewallstop

    1expliquerlarglesuivantesetrouvantdansfirewall.rules

    iptablesAINPUTmstatestateESTABLISHED,RELATEDjACCEPT

    2autoriserSSHverslamachinevirtuelleuniquementdepuis10.1.0.1

    3autorisezICMPverslamachinevirtuelledepartoutsauflerseau10.1.0.0/24

    4autoriserleftpavecsuivideconnexionsdepuispartout

    faitesdesessaisdepuislefirewallenmodeactifetpassif
    qu'enconcluezvous

    chargerlemodulesdesuivideconnexionduprotocolftp
    surleserveurvirtuelparlacommandesuivante:
    modprobeip_conntrack_ftp
    etrefaiteslestestsdepuislefirewall

    Maintenantrefaitesletestdepuisunclientexterne
    enfaitcelanemarchepascorrectementcarlapartietranslationd'adressesurlefirewalldoitavoirunmodule
    pourpouvoirchangerlesadressesquisonttransmisesdanslesdonnesdupaquets
    surlefirewallilfautchargerlemodulesip_nat_ftp(modprobeip_nat_ftp)

    IIIFILTRAGEsurlefirewall

    IMPORTANTDESACTIVEZTOUTESLESREGLESDEFILTRAGESURLESERVEURVIRTUEL

    dans/tmp/votrelogin/tp5ilyaunShellScriptiptablesfw.sh

    lelirepuisl'excutersousROOT

    PartieA
    Vrifierquelamachinesvirtuelleestbienfiltredansles2sens(viassh,nmapoupingparexemple)toutenregardant
    leslogs(rappeldelacommande:tailf/var/log/messages)
    Quellergleapermiscefiltragetotal?

    Autoriseruneconnexionsshsurlamachinevirtuelle10.1.0.10depuisl'extrieur(clientexterne)ainsiquesargledelog
    associe(enluidonnantunnomclairpourl'identifier)
    Aidezvousdeslogspourcomprendrelesproblmes
    Queconcluezvous?

    PartieB
    1)Crationdezonedefiltrage
    Pourfaciliterletravaildefiltrage,onvas'aiderdelapossibilitoffertepariptablesdecrerdeschanesutilisateurs
    (iptablesNchanes).

    Oncommenceparcrer:
    unechaneINTERNETverslerseaupriv(LAN)quiestnomme:I2L
    unechaneLANversl'extrieur(INTERNET)quiestnomme:L2I
    unechanedelogpourlesaccsautorissquiestnomme:LOGnACCEPT
    unechanedelogpourlesaccsrefussquiestnomme:LOGnDROP

    Oncontinueparcrer:
    lesdiffrentesrglesdelogsassociesaux2chanesdelogs(LOGnACCEPTetLOGnDROP)prcdemment
    cres(donnertoujoursunprfixed'identificationsimpleetclair).
    CrerlesrglesdeforwardassociesauxchanesL2IetI2L

    2)Autorisertouttrafic(sanslogs)durseauprivversl'extrieur.

    3)Autoriserssh,puisping(avecleslogs)depuisl'extrieurverslamachinevirtuelle10.1.0.10.

    Nepasoublierdemettreenplaceunergledesuividesession.Pourquoi?

    4)Autoriserftp(avecleslogs)depuisl'extrieurverslamachinevirtuelle10.1.0.10.

    Vous aimerez peut-être aussi