Eléments de réponse du premier devoir avec explications

1- Créer des règles de filtrage pour que votre poste de travail ne peut que "pinguer"
les machines du réseau. Il peut être "pingué" lui-même

Nous allons supposer que l’adresse du réseau de ma machine est 192.168.1.0/24

# sudo iptables -F (vider l’ensemble des chaines)

# sudo iptables -P INPUT DROP (politique par défaut à DROP)
# sudo iptables -P OUTPUT DROP (politique par défaut à DROP)
# sudo iptables -P FORWARD DROP (politique par défaut à DROP)
# sudo iptables -A OUTPUT -p icmp --icmp-type echo-request -d 192.168.1.0/24 -j
ACCEPT (ajout de la règle permettant d autoriser aux paquets sortants de type
request du ping à sortir de ma machine)
# sudo iptables -A INTPUT -p icmp --icmp-type echo-reply -s 192.168.1.0/24 -j
ACCEPT (ajout de la règle permettant d autoriser les paquets entrants du protocole
icmp de type reply du ping à accéder à ma machine)

2- Créer des règles de filtrage pour que votre poste de travail peut seulement surfer
sur le web, il ne peut pas pinguer ni être pingué

# sudo iptables -F (vider l’ensemble des chaines)

# sudo iptables -P INPUT DROP (politique par défaut à DROP)
# sudo iptables -P OUTPUT DROP (politique par défaut à DROP)
# sudo iptables -P FORWARD DROP (politique par défaut à DROP)
# sudo iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT (ajout de la règle
permettant d autoriser les paquets sortants dont le protocole est TCP et la destination
et le port 80 qui est l’équivalent du protocole http à sortir de ma machine )

# sudo iptables -A OUTPUT -p tcp --dport 443 -j ACCEPT(ajout de la règle

permettant d autoriser les paquets sortants dont le protocole TCP et la destination et le
port 443 qui est l’équivalent du protocole https à sortir de ma machine )

# sudo iptables -A OUTPUT -p tcp --dport 53 -m state --state NEW -j ACCEPT (ajout
de la règle permettant d autoriser les paquets sortants dont le protocole TCP et la
destination et le port 53 qui est l’équivalent du protocole DNS pour faire la résolution
des noms de domaine à sortir de ma machine )

# sudo iptables -A OUTPUT -p udp --dport 53 -m state --state NEW -j ACCEPT

(ajout de la règle permettant d autoriser les paquets sortants dont le protocole UDP et
la destination et le port 53 qui est l’équivalent du protocole DNS pour faire la
résolution des noms de domaine à sortir de ma machine)
Le service DNS utilise le protocole TCP pour maintenir la cohérence ente le cache et
le serveur et utilise und quand le client envoie la requête vers le serveur DNS

# sudo iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

(ajout de la règle permettant d autoriser les paquets entrants de toute les connexions
qui sont déjà établies (established) et les paquets entrants qui sont liés à une
connexion déjà établies (related))

3- Le poste de travail sur lequel vous travaillez devient un serveur web

exclusivement. Il ne peut rien faire d’autre.

# sudo iptables -F (vider l’ensemble des chaines)

# sudo iptables -P INPUT DROP (politique par défaut à DROP)
# sudo iptables -P OUTPUT DROP (politique par défaut à DROP)
# sudo iptables -P FORWARD DROP (politique par défaut à DROP)
# sudo iptables -A INTPUT -p tcp --dport 80 -j ACCEPT (autoriser le port 80 en
INPUT)
# sudo iptables -A INTPUT -p tcp --dport 443 -j ACCEPT (autoriser le port 443 en
INPUT)
# sudo iptables -A OUTPUT -p tcp -m state --state ESTABLISHED -j
ACCEPT(autoriser les paquets sortants en liaison avec les connexions déjà établies)