Académique Documents
Professionnel Documents
Culture Documents
Source : http://irp.nain-t.net/doku.php/120securite:050_firewalls
Toujours typiquement, ce sont les clients du réseau (les utilisateurs) à qui l'on va
donner des possibilités d'accéder au Net comme par exemple le surf ou la
messagerie.
Ici, nous avons des serveurs qui doivent être accessibles depuis le Net. Un
serveur Web, un serveur de messagerie, un FTP…
Il faudra donc permettre de laisser passer des connexions initiées depuis
l'extérieur. Bien entendu, ça présente des dangers, il faudra surveiller
étroitement et ne laisser passer que le strict nécessaire.
Les accès devraient être à peu près du même type qu'entre la zone privée et le
Net, avec un peu plus de souplesse.
En effet, il faudra
NETFILTER
#relayer les requêtes locales vers internet/transformer la machine en parefeu/routeur
INPUT
r5
r1
r2
r3
r4
Ensuite faire des ping
PROCESSUS
Chaque règle indique si l'en-tête du paquet ressemble à ceci, alors voici ce qu'il faut faire
avec le paquet.
Si la règle ne correspond pas au paquet, la règle suivante de la chaîne est consultée.
root #iptables -F
Accepter
Accept all
Refuser
https://linoxide.com/block-common-attacks-iptables/
2. STATEFUL FILTERING
Accepter tout paquet provenant d'une connexion déjà établie ou liée dans la chaîne INPUT.
root #iptables -A INPUT -i eth0 -m state --state ESTABLISHED, RELATED -j ACCEPT
Supprimer tout paquet qui n'est pas dans la table d'état. Mais l’endroit est important (Avant
la précédente)
3. PROXYING
optionnelle : accès direct à Internet
obligatoire et explicite : le seul moyen d’accéder à Internet est alors de passer à travers le
proxy-cache, mais les utilisateurs doivent configurer manuellement leur navigateur (ou autre
application) pour utiliser ce proxy-cache ;
obligatoire et implicite : le seul moyen d’accéder à Internet est de passer à travers le
proxy-cache, mais les utilisateurs n’ont pas besoin de configurer leur navigateur, leur
connexion passe par le proxy-cache de manière transparente.
acl all src all # ACL pour autoriser/refuser tous les réseaux (Source = All) – ACL obligatoire
acl lan src 172.16.0.0/16 # ACL pour autoriser/refuser le réseau 172.16.0.0
acl Safe_ports port 80 # Port HTTP = Port 'sure'
acl Safe_ports port 443 # Port HTTPS = Port 'sure'
acl Safe_ports port 21 # Port FTP = Port 'sure'
# Désactiver l'accès pour tous les réseaux sauf les clients de l'ACL Lan
# deny = refuser ; ! = sauf ; lan = nom de l’ACL à laquelle on fait référence.
http_access deny !lan
# Refuser les domaines déclarés dans le fichier définit dans l'ACL deny_domain
http_access deny deny_domain
#S’assurer que les requêtes du réseau local ne sortent pas avec des IPs privées
https://webhostinggeeks.com/howto/how-to-restrict-web-access-by-time-using-
squid-proxy-server-on-centos-6-2/