Sécurité des réseaux

Atelier 4 : systèmes pare-feu (Netfilter/iptable)

1. Objectif
L’objectif de cet atelier est d’introduire le firewall iptable qui permet de définir de règles
de filtrage et des paquets IP. Pour ce, nous allons tout d’abord visualiser les chaines de
iptable. Ensuite, nous allons appliquer des règles de filtrage sur les paquest selon les
consignes des exrecices.

2. Préambule

Netfilter/iptable est un pare-feu linux. Les règles de filtrage sont regroupées dans des chaînes
elles mêmes placées dans des tables (FILTER, NAT, MANGLE).

a- La table FILTER concerne le filtrage des paquets. Elle contient trois chaînes (ou plus) :

- La chaîne INPUT de la table filter permet de stocker les règles qui concernent
le filtrage des paquets à destination de notre machine.
- La chaîne OUTPUT de la table filter permet de stocker les règles qui
concernent le filtrage des paquets qui partent de notre machine.
- La chaîne FORWARD de la table filter permet de stocker les règles qui
concernent le filtrage des paquets qui transitent par notre machine. Cette chaîne
est utile dans le cas où notre machine se comporte en passerelle, ce qui n'est
pas le cas par défaut.

b- La table NAT est une table utilisée pour la translation d'adresse ou la translation de port.
c- La table MANGLE est une table qui contient les règles pour la modification de paquets.

Lorsqu’un paquet traverse une chaîne, les règles sont testées dans l’ordre les unes après les
autres. Une règle sélectionne un paquet en fonction de critères (protocole, adresses, type, etc.)
et lui applique une cible (ACCEPT, DROP, REJECT, QUEUE ou RETURN). Si une règle est
appliquée, le traitement de la chaîne est terminé. Si les règles ne sont pas applicables, la cible
par défaut de la chaîne est utilisée (man iptables pour plus de précision).

Remarque : les tables NAT et MANGLE ne sont pas traité dans ce TP

3. Introduction : Exemple d’opérations sur une seule chaîne

Créer les règles suivantes :

a. paramètre protocole
Interdire le protocole icmp. Effacer la règle

Page 1 sur 4
SMI6/2020-2021
b. paramètre source
Interdire le protocole icmp provenant de localhost. Effacer la règle
c. chaîne OUTPUT paramètre destination
Interdire tout paquet à destination de localhost. Effacer la règle
e. paramètre interface d'entrée
Interdire tout paquet entrant par eth0. Effacer la règle
interdire un paquet s'il provient de lo . Effacer la règle
f. paramètre interface de sortie
Interdire tout paquet sortant par eth0. Effacer la règle
g. paramètre destination port
Interdire tout paquet à destination du port ftp. Effacer la règle
h. paramètre source port
- Interdire tout paquet sortant par eth0 dont le numéro de port source est inférieur à
1024
- Tester une connexion ftp. Effacer la règle et retester une connexion ftp
i. paramètre flag TCP
Interdire toute tentative d'initialisation de connexion TCP provenant de eth0. Effacer la règle.
j. extension limit
- positionner la police par défaut à DROP pour la chaîne INPUT
- écrire une règle qui laisse passer 5 tentatives de connexion TCP puis qui n'en laisse
passer plus que 2 par minute

- faire de même avec les pings

- effacer la règle

4. Exercice 1
Créer des règles de filtrage pour que votre poste de travail ne peut que "pinguer" les machines
du réseau. Il peut être "pingué" lui-même :
- Effacez toutes les règles qui pourraient exister
- Définissez vos stratégies par défaut (tout le reste doit être bloqué)
- Ecrivez les règles correspondantes
- Testez

5. Exercice 2
Créer des règles de filtrage pour que votre poste de travail peut seulement surfer sur le web, il
ne peut pas pinguer ni être pingué

- Effacez les règles précédentes

- Conserver les stratégies à "DROP"
- Ecrivez les règles correspondantes
- Testez

6. Exercice 3
Le poste de travail sur lequel vous travaillez devient un serveur web exclusivement. Il ne peut
rien faire d'autre.
- Effacez les règles précédentes
- puis remettre les stratégies à « DROP »

Page 2 sur 4
SMI6/2020-2021
 - Vérifiez que l'on peut se connecter sur le poste de travail par ssh
- Vérifiez que l'on peut se connecter sur le poste de travail sur un serveur web (au
besoin installez-le)
- Ecrivez les règles correspondantes
-

7. Exercice 4
Une société dispose de l’adressage 137.204.212.0/24 on veut mettre en place des règles de
filtrages en adéquation avec la politique de sécurité de la société (voir en bas)

137.204.212.208 137.204.212.209

137.204.212.128/25

Réseau interne
DMZ

eth0
137.204.212.0/25
eth2 eth1

Internet

137.204.212.11 137.204.212.12 137.204.212.13

La politique de sécurité de la société requiert deux niveaux de sécurité:

- Les hôtes sur le réseau interne, doivent être protégés des accès non autorisés depuis
Internet
- Les serveurs de la DMZ, doivent être accessibles depuis l’extérieur.

Le firewall doit être configuré de telle manière que:

- chaque connexion initiée de l’extérieur et dirigée vers la DMZ doit être autorisée, si
l’adresse IP de destination et le numéro de port correspondent à un serveur accessible
publiquement;
- chaque connexion initiée depuis la DMZ et dirigée vers Internet doit être autorisée;

Page 3 sur 4
SMI6/2020-2021
 - chaque connexion initiée depuis le réseau interne et dirigée vers la DMZ ou Internet
doit être autorisée;
- tout le reste doit être bloqué

NB: pour désigner n’importe quelle adresse on utilise la notation 0.0.0.0/0

Donnez la configuration du firewall

Page 4 sur 4
SMI6/2020-2021