Académique Documents
Professionnel Documents
Culture Documents
2019/2020
Filière : LP ARSSI
TP : Sécurité des Réseaux
Firewall
Vous devrez rédiger un compte-rendu (un fichier portera votre nom) qui comportera les réponses
aux questions avec éventuellement des captures d’écran, et de l’envoyer par email.
1. Objectif du TP :
Installation d’un firewall sur une machine Linux en tant qu’un intermédiaire entre deux réseaux
différents pour prendre les mesures de sécurité nécessaire.
Les taches que vous allez effectuer se résume comme suite :
Configuration des paramètres réseaux des trois machines virtuelles local (serveur), distant
(client) et firewall
Ensemble de tests avec la configuration par défaut du firewall, des protocoles ICMP et FTP
Configuration du Firewall Iptables.
Tester les configurations effectuées avec les protocoles ICMP et FTP.
2. Espace de travail :
Vous allez travailler avec 3 machines virtuelles, une sous Windows (client) et 2 autres sous Linux.
Le réseau étudié dans ce TP est représenté sur le schéma ci-dessous :
cat /proc/sys/net/ipv4/ip_forward
Ou
sysctl net.ipv4.ip_forward
- Si la commande retourne la valeur 0, c'est que l'IP Forwarding n'est pas activé.
- Et si la commande retourne la valeur 1, c'est que l'IP Forwarding est activé.
Ou
sysctl -w net.ipv4.ip_forward=1
Ou
sysctl -w net.ipv4.ip_forward=0
Les tables sont composées d’un nombre arbitraire et non limité de chaînes.
Une chaîne est une suite linéaire de règles.
Une règle est constituée d’un motif (pattern ) destiné à reconnaître des paquets selon un
nombre indéterminé de critères (matches) et d’une décision, appelée cible (target ), à prendre
en cas de reconnaissance du paquet.
Il existe cinq tables dont les trois principales sont :
La table FILTER : elle permet les opérations de filtrage IP. Les paquets y sont acceptés (ACCEPT),
refusés (DROP ou REJECT avec renvoi d’un paquet erreur), logués (LOG) ou encore mis en queue
(QUEUE), mais jamais modifiés. Cette table possède trois chaînes de base : INPUT, FORWARD et
OUTPUT.
La table NAT (Network Address Translation) : elle permet les opérations de traduction d’adresses.
Cette table contient les chaînes : PREROUTING, INPUT, OUTPUT et POSTROUTING. Cette table dispose
de cibles propres (SNAT, DNAT, MASQUERADE et REDIRECT) pour la mise en œuvre de NAT.
La table MANGLE : elle permet d’altérer les en-têtes des paquets. La table MANGLE modifie la
structure qui représente le paquet dans la couche réseau du noyau. Il est donc possible d’agir sur les
en-têtes mais aussi sur les champs des structures utilisées par le système. Cette table possède les cinq
chaînes de base : PREROUTING, INPUT, FORWARD, OUTPUT et POSTROUTING
3.1.3. Installation
Il suffit d’installer le paquet iptables, mais normalement celui-ci est déjà installé :
3.1.4. Configuration par défaut
Par défaut, iptables est réglé sur une politique permissive (open config ) où on laisse tout passer (policy
ACCEPT).
On rappelle que la table FILTER contient trois chaînes de base :
Tout paquet traité par la table FILTER traversera une et une seule de ces trois chaines
3.1.5. Tests
On interdit tout ce qui arrive sur l’interface lo (loopback ) :
On interdit tout ce qui sort de l’interface lo (loopback ) :
3.2. Manipulations
Vous allez afficher la configuration du firewall actuelle de la machine Firewall grâce à la commande
Iptables :
Vous allez analyser les paramètres attribués aux chaînes de filtrage :
Initialisation du Firewall :
Pour initialiser le firewall il faut initialiser la table filter.
# iptables -F
# iptables -t nat -F
# iptables -t mangle –F
# iptables -X
# iptables -t nat -X
# iptables -t mangle –X
Vous allez définir la politique de base du Firewall pour ne rien laisser entrer ou sortir c’est-à-dire faire
pointer les trois chaînes vers DROP.
Pour cela vous allez utiliser les commandes suivantes :