Vous êtes sur la page 1sur 3

ACCUEIL POLITIQUE-CONFIDENTIALITE INDEX CONTACT

ACCUEIL COURS TPS

Accueil

Search
samedi 14 janvier 2012
TP:Iptables PARTAGER

12:40 MOSTAPHA NO COMMENTS

Subscribe to our RSS Feed

retrouvez nous sur facebook

le plus consulté Tags Archives

LE PLUS CONSULTÉ

TP:Iptables
Iptables : Dans ce TP , nous allons
utiliser IpTables, une solution
complète de firewall sous linux (à
partir du noyau 2.4)...

Iptables : TP installation de serveur de


messagerie postfix
Introduction: Postfix est entièrement
libre. Il a été écrit entièrement par
Dans ce TP , nous allons utiliser IpTables, une solution complète de firewall sous linux (à partir du noyau 2.4). Wietse Venema qui travaillait à
1 - Lancement d’Iptables l'époque, pour IB...

Dans le cas ou les options iptables du kernel ont étés compilées en modules, il est nécessaire de charger ces TP installation de serveur de
messagerie postfix(2)
modules avant de pouvoir utiliser iptables :
Postfix : · Installation :
# modprobe ip_tables Postfix va envoyer et recevoir les
mails de votre domaine. Pour
l'install...

Opérations sur une seule chaîne et sur la table filtrer: TP configuration de DNS sous linux (suite 3)
2°) Configuration du client : Sur le poste, trois fichiers
1.1.1. Première règle : servent à la configuration du client : - /etc/hosts : Ce
fichier est ...

· Interdire tout paquet entrant : TP routage(Routage statique)


#iptables -A INPUT -j DROP 2. Routage statique 2.1.
Configuration : Analysons tout
· Effacer la règle : d’abord la table de routage via la
iptables -D INPUT 1 commande route sous Linux. ...

1.1.2. Paramètre protocole : TP:configuration d'un DNS sous linux


DÉFINITION : Le Domain Name System (ou DNS
, système de noms de domaine) est un service
· Interdire le protocole ICMP : permettant d'établir une correspond...
iptables -A INPUT -p icmp -j DROP
TP serveur de messagerie postfix (3 Tests)
· Effacer la règle : · Tests: Vous pouvez envoyer un mail en ligne de
iptables -D INPUT 1 commandes : D'abord vers votre domaine, puis vers
un domaine extérieu...

1.1.3. Paramètre source : TP routage dynamique 2


Configuration IP des
· Interdire le protocole ICMP provenant de localhost : machines : Nous avons configuré nos
machines pour utiliser des IP de la
iptables -A INPUT -p icmp -s localhost -j DROP classe C. 192.168.1...
· Effacer la règle :
iptables -D INPUT 1 TP routage( configuration de réseau )
Le but de ce TP est de vous faire
comprendre et vous faire manipuler
1.1.4. chaîne OUTPUT paramètre destination : sous linux la configuration des
· Interdire tout paquet à destination de localhost : interfaces réseau les tabl...
iptables -A OUTPUT -d localhost -j DROP
· Effacer la règle : TP routage dynamique
iptables -D OUTPUT 1 Pourquoi le routage dynamique ? Comme nous
l'avons défini dans le TP 1, le routage statique
consiste à indiquer l'adres...
1.1.5. paramètre inversion :

· Interdire un paquet s' il ne provient pas de localhost : NOMBRE TOTAL DE PAGES VUES
iptables -A INPUT -s ! localhost -j DROP
· Effacer la règle : 3 7 7 6
iptables -D INPUT 1

BLOG ARCHIVE
1.1.6. paramètre interface d'entrée :
▼ 2012 (21)
· Interdire un paquet s' il provient de lo :
▼ janvier (21)
iptables -A INPUT -i lo -j DROP
recherche dicotomie
· Effacer la règle :
iptables -D INPUT 1 TP les types de trie en C

TP serveur de messagerie postfix (3 Tests)


1.1.7. paramètre interface de sortie :
TP installation de serveur de messagerie
postfix(2...
· Interdire tout paquet sortant par eth0 :
iptables -A OUTPUT -o eth0 -j DROP TP installation de serveur de messagerie
postfix
· Effacer la règle :
iptables -D OUTPUT 1 Activation de RIP sur les routeurs(3)

TP routage dynamique 2

1.1.8. paramètre destination port : TP routage dynamique

TP:Iptables
· Interdire tout paquet à destination du port ftp :
iptables -A INPUT -p tcp --dport 21 -j DROP TP routage(Routage statique)
· Effacer la règle : TP routage( configuration de réseau )
iptables -D INPUT 1
TP routage (introduction)

1.1.9. paramètre source port : TP configuration de DNS sous linux (suite 4)

TP configuration de DNS sous linux (suite 3)


· Interdire tout paquet sortant par eth0 dont le numéro de port destination est
inférieur à 1024 : TP configuration de DNS sous linux (suite 2)
iptables -A OUTPUT -o eth0 -p tcp --sport :1023 -j DROP
TP:configuration d'un DNS sous linux
iptables -A OUTPUT -o eth0 -p udp --sport :1023 -j DROP
· Effacer la règle : modèle de référence OSI de l'ISO
iptables -D OUTPUT 1
Topologies de réseaux

1.1.10. paramètre flag TCP : Qu'est-ce que RSS?

Autre caractéristiques :
· Interdire toute tentative d' initialisation de connexion TCP provenant de eth0 :
Généralités sur les réseaux informatique
iptables -A INPUT -i eth0 -p tcp --syn --sport :1023 -j DROP
· Effacer la règle :
iptables -D INPUT 1 ► 2011 (9)

1.1.11. paramètre flag icmp :


CATEGORIES

· Interdire tout paquet entrant correspondant à un ping : exercice de C (2)


iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
Java (4)
· Effacer la règle :
iptables -D INPUT 1 réseaux informatique (6)

RSS (4)
· Interdire toute réponse à un ping :
serveur de messagerie postfix (3)
iptables -A OUTPUT -p icmp --icmp-type echo-reply -j DROP
· Effacer la règle : TP configuration de DNS sous linux (4)
iptables -D OUTPUT 1
TP Iptables : (1)

TP routage (3)
1.1.12. paramètre extension:
2.1.12.1. extension mac : TP routage dynamique (3)

· Interdire tout paquet entrant par eth0 dont l' adresse mac n' est pas celle du
FOLLOW BY EMAIL
voisin :
iptables -A INPUT -i eth0 -m mac --mac-source ! 00:50:FC:23:2D:D7 -j DROP
Email address... Submit
· Effacer la règle :
iptables -D INPUT 1

2.1.12.2. extension limit :

· Positionner la police par défaut à DROP pour la chaîne INPUT :


iptables -P INPUT DROP
· Ecrire une règle qui laisse entrer 5 tentatives de connexion TCP puis qui n' en
laisse passer plus que 2 par minute :
iptables -A INPUT -p tcp --syn -m limit --limit 2/minute --limit-burst 5 -j ACCEPT
· Faire de même avec les pings :
iptables -A INPUT -p icmp --icmp-type ping -m limit --limit 2/minute --limit-burst 5 -j ACCEPT
· combien de temps faudra t' il pour qu' on puisse à nouveau avoir 5 des ces
paquets qui puissent passer à la suite ?
5 minutes

· Effacer la règle :
iptables -D INPUT 1

1.1.13. le suivi de connexion(ip_conntrack) :

· Positionnez les règles par défaut à DROP pour les chaînes INPUT, OUTPUT,
FORWARD :
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
· Autoriser tout paquet relatif à une connexion déjà établi ou en rapport avec
une connexion déjà établi en entrée

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

· Interdire tout paquet relatif à une connexion de type INVALID :

iptables -A INPUT -m state --state INVALID -j DROP


· Autoriser tout paquet créant une nouvelle connexion en sortie à destination du
port 80 :
iptables -A OUTPUT -p tcp --dport 80 -m state --state NEW -j ACCEPT
· Que faut il modifier ici pour que l' on puisse naviguer sur le net ?
iptables -A OUTPUT -p tcp --dport 53 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -p udp --dport 53 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

Opérations sur plusieurs chaînes et sur la table filter:

ü création d'un nouvelle chaîne :

· créer une nouvelle chaîne qui log le paquet en ajoutant le préfixe [INPUT DROP] et
qui le drop renvoyer sur cette nouvelle chaîne tout paquet engendrant une nouvelle
connexion en entrée :

iptables -N LOG_DROP
iptables -A LOG_DROP -j LOG --log-prefix «[INPUT DROP]»
iptables -A LOG_DROP -j DROP

Posted in: TP Iptables :

0 C O M M E N TA I R E S :

E N R E G I S T R E R U N C O M M E N TA I R E

Saisissez votre commentaire…

Commentaire : el azouzi hafid ( Déconnexion

Publier Aperçu M'informer

monde de web © 2010

Powered by Blogger