Université de BOUMERDES UMBB

Département d’informatique
M2/sécurité informatique
Responsable du module : Dr RIAHLA Med Amine , MCA, UMBB

TPN°5: Iptables commandes de base

Chemin détaillé suivi par un paquet Netfilter

1
Rappel commande Log :
 iptables -A FORWARD -p tcp -j LOG --log-level debug : debug, info,
notice, warning , warn, err, e rror, crit, alert, emerg et panic
 iptables -A INPUT -p tcp -j LOG --log-prefix "INPUT packets"
 iptables -A INPUT -p tcp -j LOG --log-tcp-sequence : Cette option
journalisera les numéros des Séquences TCP
 iptables -A FORWARD -p tcp -j LOG --log-tcp-options : journalise les
différentes options des en-têtes des paquets TCP et peuvent être utiles lors
du débogage
 iptables -A FORWARD -p tcp -j LOG --log-ip-options : journalisera la plupart
des options des en-têtes de paquets IP

Remarque :
La salle de TP doit contenir un ensemble de machines (Windows et LINUX)
connectées en réseau, il faut aussi configurer au moins les serveurs http, ftp, smtp, ssh,
telnet et utiliser les outils NMAP, netcat, tcpdump et netstat

Exercice 1 : Commandes de base

Donner et tester les règles permettant de (effacer la règle après chaque test) :
1. Interdire tout paquet entrant.

2. Interdire le protocole icmp entrant

3. Interdire le protocole icmp provenant de localhost

4. Interdire tout paquet à destination de localhost

5. Interdire un paquet s'il ne provient pas de localhost

6. Interdire tout paquet entrant par eth0

7. Interdire tout paquet sortant par eth0

8. Interdire tout paquet à destination du port ftp (utiliser netcat pour le port ftp et la ligne
de commande ftp pour le client, puis nmap pour afficher le résultat)

9. Interdire tout paquet sortant par eth0 dont le numéro de port source est inférieur à
1025 (tcp et udp) puis tester une connexion ftp

Exercice 2 : Manipulation des règles de filtrage avec LOG

1. Vérifiez que votre interface de bouclage fonctionne correctement

2. Créer une nouvelle chaine utilisateur LOG_DROP pour à la fois rejeter les paquets et
enregistrer dans le journal (/var/log/messages) les paquets rejetés. (pour supprimer
une nouvelle chaine, il faut la vider d’abord)

3. Appliquer le filtre « interdire le icmp local » à la chaine INPUT

2
 4. Vérifiez que la configuration a bien été prise en compte

5. Ouvrir un autre shell dans un terminal (xterm &) puis taper la commande tail –f
/var/log/messages. Dans le premier terminal faire un ping local et observer le
deuxième terminal

6. Supprimer la règle

7. Ajouter une règle pour interdire le ICMP de n’importe quelle machine du réseau : par
machine puis par adresse réseau.

8. Autoriser les requêtes ping uniquement (pas l’icmp complet) à destination du pare-feu

Exercice 3 : Autorisation de services utiles

1. Réinitialisez le pare-feu

2. Appliquez la politique par défaut

3. Autoriser les requêtes ping à destination du pare-feu

4. Ajoutez et testez une règle autorisant l’accès SSH à votre machine

5. Ajoutez et testez une règle autorisant l’accès Web à votre machine

6. Ajoutez et testez une règle autorisant l’accès FTP à votre machine

7. Ajoutez et testez une règle autorisant l’accès messagerie à votre machine