1.

FILTRAGE DE PAQUETS (STATELESS FILTERING)

Source : http://irp.nain-t.net/doku.php/120securite:050_firewalls

192.168.1.0/24 192.168.1.0/28 FTP, http, DNS, Messagerie

web.exemple.cm tchafros@ exemple.cm

Proxy= pare-feu applicatif

1- Entre le réseau privé et le Net

Toujours typiquement, ce sont les clients du réseau (les utilisateurs) à qui l'on va
donner des possibilités d'accéder au Net comme par exemple le surf ou la
messagerie.

 Toutes les requêtes partent du réseau privé vers le Net.

 Seules les réponses à ces requêtes doivent entrer dans cette zone. Les accès
peuvent être complètement bridés (les clients du réseau privé n'ont aucun
droit d'accès vers le Net, ça nuit à leur productivité. Seul le patron y a droit).
 Ou alors, les utilisateurs ne pourront consulter qu'un nombre de sites limités,
dans le cadre de leurs activités professionnelles exclusivement.
 Très généralement, cette zone est construite sur une classe d'adresses privées
et nécessite donc une translation d'adresse pour accéder au Net. C'est le
routeur qui se chargera de cette translation.

2- Entre la DMZ et le Net

Ici, nous avons des serveurs qui doivent être accessibles depuis le Net. Un
serveur Web, un serveur de messagerie, un FTP…
  Il faudra donc permettre de laisser passer des connexions initiées depuis
l'extérieur. Bien entendu, ça présente des dangers, il faudra surveiller
étroitement et ne laisser passer que le strict nécessaire.

3- Entre le réseau privé et la DMZ

Les accès devraient être à peu près du même type qu'entre la zone privée et le
Net, avec un peu plus de souplesse.

En effet, il faudra

 Mettre à jour les serveurs web,

 Envoyer et recevoir les messages, puisque le SMTP est dedans
 Mettre à jour le contenu du FTP (droits en écriture).

 En revanche, depuis la DMZ, il ne devrait y avoir aucune raison pour

qu'une connexion soit initiée vers la zone privée.

NETFILTER
#relayer les requêtes locales vers internet/transformer la machine en parefeu/routeur

echo 1 > /proc/sys/net/ipv4/ip_forward

Bloquer tous les paquets ICMP :

root # iptables -t FILTER  -A (I) INPUT -p icmp -j DROP

INPUT
r5
r1
r2
r3
r4
Ensuite faire des ping

Table: FILTER, MANGLE

CHAINE: INPUT, OUTPUT, FORWARD, PREROUTING, and POSTROUTING. Une chaine
consiste en une liste de règles.
Protocole : icmp, tcp
Port : --sport –dport
Adresse : -s -d
Interface : -o -i
Cible : ACCEPT, DROP (sans accuse), REJECT (avec accuse), LOG, QUEUE, or
MASQUERADE.

PROCESSUS
 Chaque règle indique si l'en-tête du paquet ressemble à ceci, alors voici ce qu'il faut faire
avec le paquet.
 Si la règle ne correspond pas au paquet, la règle suivante de la chaîne est consultée.

root #iptables -F

Pour supprimer tout le trafic :

#Vous ne pourrez pas vous connecter n'importe où car tout le trafic est
abandonné
Deny all

Accepter

Accept all

Refuser

# iptables -P INPUT DROP

# iptables -P OUTPUT DROP
# iptables -P FORWARD DROP
# iptables -L -v -n
root #iptables -A INPUT -p icmp -j ACCEPT
root #iptables -A INPUT -p tcp –dport 80 -j ACCEPT

# iptables -P INPUT ACCEPT

# iptables -P OUTPUT ACCEPT
# iptables -P FORWARD ACCEPT
# iptables -L -v -n

IPTABLES POUR LES ATTAQUES

https://linoxide.com/block-common-attacks-iptables/
 2. STATEFUL FILTERING
Accepter tout paquet provenant d'une connexion déjà établie ou liée dans la chaîne INPUT.
root #iptables -A INPUT -i eth0 -m state --state ESTABLISHED, RELATED -j ACCEPT

Supprimer tout paquet qui n'est pas dans la table d'état. Mais l’endroit est important (Avant
la précédente)

root #iptables -A INPUT -i eth0 -m state --state INVALID -j DROP

Module/Match Description Extended options

mac Extension correspondante --mac-source
pour l'adresse mac des
paquets entrants.
state Active l'inspection --state (states are ESTABLISHED, RELATED,
dynamique (stateful INVALID, NEW)
inspection)
limit Limitation de --limit, --limit-burst
l'appariement des tarifs
owner Tenter de faire --uid-owner userid --gid-owner groupid --
correspondre diverses pid-owner processid --sid-owner sessionid
caractéristiques du
créateur du paquet
unclean Divers contrôles Example
d'intégrité aléatoires sur
les paquets

3. PROXYING
optionnelle : accès direct à Internet 
obligatoire et explicite : le seul moyen d’accéder à Internet est alors de passer à travers le
proxy-cache, mais les utilisateurs doivent configurer manuellement leur navigateur (ou autre
application) pour utiliser ce proxy-cache ;
obligatoire et implicite : le seul moyen d’accéder à Internet est de passer à travers le
proxy-cache, mais les utilisateurs n’ont pas besoin de configurer leur navigateur, leur
connexion passe par le proxy-cache de manière transparente.

acl all src all # ACL pour autoriser/refuser tous les réseaux (Source = All) – ACL obligatoire
acl lan src 172.16.0.0/16 # ACL pour autoriser/refuser le réseau 172.16.0.0
acl Safe_ports port 80 # Port HTTP = Port 'sure'
acl Safe_ports port 443 # Port HTTPS = Port 'sure'
acl Safe_ports port 21 # Port FTP = Port 'sure'

# Désactiver tous les protocoles sauf les ports sures

http_access deny !Safe_ports

# Désactiver l'accès pour tous les réseaux sauf les clients de l'ACL Lan
# deny = refuser ; ! = sauf ; lan = nom de l’ACL à laquelle on fait référence.
http_access deny !lan

# Port utilisé par le Proxy :

# Le port indiqué ici, devra être celui qui est précisé dans votre navigateur.
http_port 3128

# Déclarer un fichier qui contient les domaines à bloquer

acl deny_domain url_regex -i "/etc/squid/denydomain.txt"

# Refuser les domaines déclarés dans le fichier définit dans l'ACL deny_domain
http_access deny deny_domain
#S’assurer que les requêtes du réseau local ne sortent pas avec des IPs privées

iptables -t nat -A POSTROUTING –s 172.16.0.0/16 -o eth1 -j MASQUERADE

#Rediriger les requêtes sur le port 80 vers le port 3128 du proxy

iptables -t nat -A PREROUTING -i eth0 -p tcp –dport 80 -j

REDIRECT –to-port 192.168.1.3 :3128

Exemple de proxy : Squid

https://webhostinggeeks.com/howto/how-to-restrict-web-access-by-time-using-
squid-proxy-server-on-centos-6-2/