Scribd Logo
Importer

Bienvenue sur Scribd !

  • VCBVBCVBCV

    Transféré par

    illi
    4 vues3 pages
    fxbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbb

    Titre original

    vcbvbcvbcv

    Copyright

    © © All Rights Reserved

    Formats disponibles

    TXT, PDF, TXT ou lisez en ligne sur Scribd

    Avez-vous trouvé ce document utile ?

    Ce contenu est-il inapproprié ?

    Signaler ce document
    fxbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbb

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme TXT, PDF, TXT ou lisez en ligne sur Scribd
    Signaler comme contenu inapproprié
    4 vues3 pages

    VCBVBCVBCV

    Transféré par

    illi
    fxbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbb

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme TXT, PDF, TXT ou lisez en ligne sur Scribd
    Signaler comme contenu inapproprié
    sur 3

    vjsb<ghsmixhbmhlxhblfhsdihsdfishdfldlfhsdlkhcxvnc;v,xcnvcxc;,vbcvjsdhfldkfhdlslddhk

    fdkdl
    1.Opérations sur une seule chaîne et sur la table filter:
    Créer les règles suivantes : (vous noterez sur cette feuille chacune des règles
    demandées, ainsi que le test de la
    règle, à savoir un copié/collé du term, et/ou du résultat d'un
    sniff( ethereal,ngrep etc)
    • interdire tout paquet entrant
    • effacer la règle
    iptables A
    INPUT j
    DROP
    iptables D
    INPUT 1
    ✔ paramètre protocole
    • interdire le protocole icmp entrant
    • effacer la règle
    iptables A
    INPUT p
    icmp j
    DROP
    ✔ paramètre source
    • interdire le protocole icmp provenant de localhost
    • effacer la règle
    iptables A
    INPUT p
    icmp s
    localhost j
    DROP
    ✔ chaîne OUTPUT paramètre destination
    • interdire tout paquet à destination de localhost
    • effacer la règle
    iptables A
    OUTPUT d
    localhost j
    DROP
    ✔ paramètre inversion
    • interdire un paquet s'il ne provient pas de localhost
    • effacer la règle
    iptables A
    INPUT s
    ! localhost j
    DROP
    ✔ paramètre interface d'entrée
    • interdire tout paquet entrant par eth0
    • effacer la règle
    iptables A
    INPUT i
    eth0 j
    DROP
    • interdire un paquet s'il provient de lo (à ne surtout jamais faire sur une
    machine si l'on ne sait
    pas EXACTEMENT ce que l'on fait)
    Copyright Stéphane Salès
    Email : ssales@alio.fr
    Page 2 / 7
    bjectif de cet atelier est d’introduire le firewall iptable qui permet de définir
    de règles de filtrage et des paquets IP. Pour ce, nous allons tout d’abord
    visualiser les chaines de iptable. Ensuite, nous allons appliquer des règles de
    filtrage sur les paquest selon les consignes des exrecices.
    2. Préambule
    Netfilter/iptable est un pare-feu linux. Les règles de filtrage sont regroupées
    dans des chaînes elles mêmes placées dans des tables (FILTER, NAT, MANGLE).
    a- La table FILTER concerne le filtrage des paquets. Elle contient trois chaînes
    (ou plus) :
    - La chaîne INPUT de la table filter permet de stocker les règles qui concernent le
    filtrage des paquets à destination de notre machine.
    - La chaîne OUTPUT de la table filter permet de stocker les règles qui concernent
    le filtrage des paquets qui partent de notre machine.
    - La chaîne FORWARD de la table filter permet de stocker les règles qui concernent
    le filtrage des paquets qui transitent par notre machine. Cette chaîne est utile
    dans le cas où notre machine se comporte en passerelle, ce qui n'est pas le cas par
    défaut.
    b- La table NAT est une table utilisée pour la translation d'adresse ou la
    translation de port.
    c- La table MANGLE est une table qui contient les règles pour la modification de
    paquets.
    Lorsqu’un paquet traverse une chaîne, les règles sont testées dans l’ordre les unes
    après les autres. Une règle sélectionne un paquet en fonction de critères
    (protocole, adresses, type, etc.) et lui applique une cible (ACCEPT, DROP, REJECT,
    QUEUE ou RETURN). Si une règle est appliquée, le traitement de la chaîne est
    terminé. Si les règles ne sont pas applicables, la cible par défaut de la chaîne
    est utilisée (man iptables pour plus de précision).
    Remarque : les tables NAT et MANGLE ne sont pas traité dans ce TP
    3. Introduction : Exemple d’o pérations sur une seule chaîne
    Créer les règles suivantes :
    a. paramètre protocole
    Interdire le protocole icmp. Effacer la règle
    Page 2 sur 4
    SMI6/2020-2021
    b. paramètre source
    Interdire le protocole icmp provenant de localhost. Effacer la règle
    c. chaîne OUTPUT paramètre destination
    Interdire tout paquet à destination de localhost. Effacer la règle
    e. paramètre interface d'entrée
    Interdire tout paquet entrant par eth0. Effacer la règle
    interdire un paquet s'il provient de lo . Effacer la règle
    f. paramètre interface de sortie
    Interdire tout paquet sortant par eth0. Effacer la règle
    g. paramètre destination port
    Interdire tout paquet à destination du port ftp. Effacer la règle
    h. paramètre source port
    - Interdire tout paquet sortant par eth0 dont le numéro de port source est
    inférieur à 1024
    - Tester une connexion ftp. Effacer la règle et retester une connexion ftp
    i. paramètre flag TCP
    Interdire toute tentative d'initialisation de connexion TCP provenant de eth0.
    Effacer la règle.
    j. extension limit
    - positionner la police par défaut à DROP pour la chaîne INPUT
    - écrire une règle qui laisse passer 5 tentatives de connexion TCP puis qui n'en
    laisse passer plus que 2 par minute
    - faire de même avec les pings
    - effacer la règle
    4. Exercice 1Exercice 1
    Créer des règles de filtrage pour que votre poste de travail ne peut que "pinguer"
    les machines du réseau. Il peut être "pingué" lui-même :
    - Effacez toutes les règles qui pourraient exister
    - Définissez vos stratégies par défaut (tout le reste doit être bloqué)
    - Ecrivez les règles correspondantes
    - Testez
    5. Exercice 2 Exercice 2
    Créer des règles de filtrage pour que votre poste de travail peut seulement surfer
    sur le web, il ne peut pas pinguer ni être pingué
    - Effacez les règles précédentes
    - Conserver les stratégies à "DROP"
    - Ecrivez les
    règlevjsb<ghsmixhbmhlxhblfhsdihsdfishdfldlfhsdlkhcxvnc;v,xcnvcxc;,vbcvjsdhfldkfhdls
    lddhkfdkdl
    1.Opérations sur une seule chaîne et sur la table filter:
    Créer les règles suivantes : (vous noterez sur cette feuille chacune des règles
    demandées, ainsi que le test de la
    règle, à savoir un copié/collé du term, et/ou du résultat d'un
    sniff( ethereal,ngrep etc)
    • interdire tout paIptables : Correction TP
    • effacer la règle
    iptables A
    INPUT i
    lo j
    DROP
    ✔ paramètre interface de sortie
    • interdire tout paquet sortant par eth0
    • effacer la règle
    iptables A
    OUTPUT o
    eth0 j
    DROP
    ✔ pa

    Vous aimerez peut-être aussi