Deuxième Test TP ASR

Rappel
 Activer le routage
sudo sysctl net.ipv4.ip_forward=1
 Rajouter/supprimer une passerelle par defaut
sudo route add|del default gw <@ gw>
 Rajout d’une route vers un réseau
sudo route add|del -net <@réseau> netmask <masque réseau> gw <@ gw>
 Rajout d’une route vers un ordinateur
sudo route add|del -host <@host> gw <@ gw>

Rappel

1- Chaîne et tables netfilter

2- Cibles des règles

Cible Description

ACCEPT Les paquets envoyés vers cette cible seront tout simplement acceptés et pourront poursuivre
leur cheminement au travers des couches réseaux.
DROP Cette cible permet de jeter des paquets qui seront donc ignorés.

REJECT Permet d'envoyer une réponse à l'émetteur pour lui signaler que son paquet a été refusé.
LOG Demande au noyau d'enregistrer des informations sur le paquet courant. Cela se fera
généralement dans le fichier /var/log/messages (selon la configuration du programme
syslogd).
MASQUERADE Cible valable uniquement dans la chaîne POSTROUTING de la table nat. Elle change
l'adresse IP de l'émetteur par celle courante de la machine pour l'interface spécifiée. Cela
permet de masquer des machines et de faire par exemple du partage de connexion.
SNAT Egalement valable pour la chaîne POSTROUTING de la table nat seulement. Elle modifie
aussi la valeur de l'adresse IP de l'émetteur en la remplaçant par la valeur fixe spécifiée.
DNAT Valable uniquement pour les chaînes PREROUTING et OUTPUT de la table nat. Elle
modifie la valeur de l'adresse IP du destinataire en la remplaçant par la valeur fixe spécifiée.

3-Options iptables

Option Rôle
-L Affiche toutes les règles de la chaîne indiquée.

-F Supprime toutes les règles de la chaîne. Si aucune chaîne n'est spécifiée, toutes celles de la table sont
vidées.

-P Modifie la politique par défaut de la chaîne. Il faut indiquer en plus comme paramètre la cible à utiliser.

-A Ajoute une règle à la fin de la chaîne spécifiée.

-I Insère la règle avant celle indiquée. Cette place est précisée par un numéro qui fait suite au nom de la
chaîne. La première porte le numéro 1. Si aucun numéro n'est indiqué, la règle est insérée au début.

1
D Supprime une règle de la chaîne. Soit un numéro peut être précisé, soit la définition de la chaîne à
supprimer (ses tests de concordance et sa cible).

4-Tests de concordance

opt Contexte Description

-s Adresse source. Cette option est suivie par l'adresse de la machine qui doit
avoir émis ce paquet.
Si l'adresse est précédée d'un ! (point d'exclamation), le test est alors inversé
sous-réseau
-d Adresse de destination. On trouve ensuite l'adresse de destination du paquet,
avec les mêmes possibilités que pour --source.
-i Chaînes INPUT, Interface d'entrée. Suivie par le nom de l'interface par laquelle doivent
FORWARD ou arriver les paquets.
PREROUTING
-o Chaînes Interface de sortie. Suivi du nom de l’interface
FORWARD,
OUTPUT ou
POSTROUTING
-p Protocole. Permet de vérifier le protocole du paquet. ( tcp, udp, icmp ou all)

--source-port --protocol tcp ou Port source. Cette option permet de vérifier le port source (celui utilisé par
--protocol udp l'émetteur).
Intervalle de port : ex. 25:110 pour tous les ports compris entre 25 et 110.

--destination-port --protocol tcp ou Port destination. Compare le port utilisé pour se connecter sur la machine
--protocol udp avec la valeur ou plage de valeur indiquée.

Exercice 1

Soit le réseau illustré dans la figure ci-dessous.

1. Quels sont les routeurs dans ce réseau. (1 point)

10.1.2.254 , 10.1.2.253, 10.1.2.252

2. Configurer le routage statique dans les ordinateurs Linux 1, 2 et 3

Ordinateur 1 (1 point)

sudo route add default gw 10.1.1.254

2
 Ordinateur 2 (1.5 point)

sudo route add -net 10.1.3.0 netmask 255.255.255.0 gw 10.1.2.253

sudo route add -net 10.1.4.0 netmask 255.255.255.0 gw 10.1.2.252

3. Ordinateur 3 (1 point)

sudo route add default gw 10.1.4.254

4. Configurer l’ordinateur 2 pour que les ordinateurs du réseau 4 puissent accéder au réseau
Internet. (Question retirée à cause d’une erreur)

sudo iptables -t nat -A POSTROUTING -j SNAT --to 9.9 .9.9

5. Configurer l’ordinateur 2 pour que, les ordinateur du réseau 1 et de Internet puissent

accéder au serveur Web (2 point)

sudo sysctl net.ipv4.ip_forward=1

sudo iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination 10.1.2.1

sudo iptables -t filter -A FORWARD -s 10.1.1.0/24 -p tcp --dport 80 -d 10.1.2.1 -j ACCEPT

sudo iptables -t filter -A FORWARD -d 10.1.1.0/24 -s 10.1.2.1 -m state --state

ESTABLISHED -j ACCEPT

6. On supposant que sur l’ordinateur 2 s’exécuter un relais DHCP, écrire les règles de filtrage
pour que les ordinateur du réseau 1 puis obtenir des adresse dynamique à partir du serveur
DHCP dans le réseau 2. (2 point)

sudo iptables -t filter -A INPUT -s 10.1.1.0/24 -d 10.1.1.254 -p udp --dport 67 -j ACCEPT

sudo iptables -t filter -A INPUT -s 10.1.2.1 -d 10.1.2.254 -p udp --dport 68 -j ACCEPT

sudo iptables -t filter -A OUTPUT -d 10.1.2.1 -p udp --dport 67 -j ACCEPT

sudo iptables -t filter -A OUTPUT -d 10.1.1.0/24 -p udp --dport 68 -j ACCEPT

7. Tous les autre trafics doivent êtres interdits. (1.5 point)

sudo iptables -P INPUT DROP

sudo iptables -P OUTPUT DROP
sudo iptables -P FORWARD DROP