Académique Documents
Professionnel Documents
Culture Documents
Rappel
Activer le routage
sudo sysctl net.ipv4.ip_forward=1
Rajouter/supprimer une passerelle par defaut
sudo route add|del default gw <@ gw>
Rajout d’une route vers un réseau
sudo route add|del -net <@réseau> netmask <masque réseau> gw <@ gw>
Rajout d’une route vers un ordinateur
sudo route add|del -host <@host> gw <@ gw>
Rappel
Cible Description
ACCEPT Les paquets envoyés vers cette cible seront tout simplement acceptés et pourront poursuivre
leur cheminement au travers des couches réseaux.
DROP Cette cible permet de jeter des paquets qui seront donc ignorés.
REJECT Permet d'envoyer une réponse à l'émetteur pour lui signaler que son paquet a été refusé.
LOG Demande au noyau d'enregistrer des informations sur le paquet courant. Cela se fera
généralement dans le fichier /var/log/messages (selon la configuration du programme
syslogd).
MASQUERADE Cible valable uniquement dans la chaîne POSTROUTING de la table nat. Elle change
l'adresse IP de l'émetteur par celle courante de la machine pour l'interface spécifiée. Cela
permet de masquer des machines et de faire par exemple du partage de connexion.
SNAT Egalement valable pour la chaîne POSTROUTING de la table nat seulement. Elle modifie
aussi la valeur de l'adresse IP de l'émetteur en la remplaçant par la valeur fixe spécifiée.
DNAT Valable uniquement pour les chaînes PREROUTING et OUTPUT de la table nat. Elle
modifie la valeur de l'adresse IP du destinataire en la remplaçant par la valeur fixe spécifiée.
3-Options iptables
Option Rôle
-L Affiche toutes les règles de la chaîne indiquée.
-F Supprime toutes les règles de la chaîne. Si aucune chaîne n'est spécifiée, toutes celles de la table sont
vidées.
-P Modifie la politique par défaut de la chaîne. Il faut indiquer en plus comme paramètre la cible à utiliser.
1
D Supprime une règle de la chaîne. Soit un numéro peut être précisé, soit la définition de la chaîne à
supprimer (ses tests de concordance et sa cible).
4-Tests de concordance
-s Adresse source. Cette option est suivie par l'adresse de la machine qui doit
avoir émis ce paquet.
Si l'adresse est précédée d'un ! (point d'exclamation), le test est alors inversé
sous-réseau
-d Adresse de destination. On trouve ensuite l'adresse de destination du paquet,
avec les mêmes possibilités que pour --source.
-i Chaînes INPUT, Interface d'entrée. Suivie par le nom de l'interface par laquelle doivent
FORWARD ou arriver les paquets.
PREROUTING
-o Chaînes Interface de sortie. Suivi du nom de l’interface
FORWARD,
OUTPUT ou
POSTROUTING
-p Protocole. Permet de vérifier le protocole du paquet. ( tcp, udp, icmp ou all)
--source-port --protocol tcp ou Port source. Cette option permet de vérifier le port source (celui utilisé par
--protocol udp l'émetteur).
Intervalle de port : ex. 25:110 pour tous les ports compris entre 25 et 110.
--destination-port --protocol tcp ou Port destination. Compare le port utilisé pour se connecter sur la machine
--protocol udp avec la valeur ou plage de valeur indiquée.
Exercice 1
Ordinateur 1 (1 point)
2
Ordinateur 2 (1.5 point)
3. Ordinateur 3 (1 point)
4. Configurer l’ordinateur 2 pour que les ordinateurs du réseau 4 puissent accéder au réseau
Internet. (Question retirée à cause d’une erreur)
6. On supposant que sur l’ordinateur 2 s’exécuter un relais DHCP, écrire les règles de filtrage
pour que les ordinateur du réseau 1 puis obtenir des adresse dynamique à partir du serveur
DHCP dans le réseau 2. (2 point)