Académique Documents
Professionnel Documents
Culture Documents
a. paramètre protocole
Interdire le protocole icmp. Effacer la règle
Iptables –A INPUT -p icmp DROP
Iptables –A OUTPUT -p icmp DROP
b. paramètre source
Interdire le protocole icmp provenant de localhost. Effacer la règle
Iptables -A INPUT -p icmp -s localhost -j DROP
c. chaîne OUTPUT paramètre destination
Interdire tout paquet à destination de localhost. Effacer la règle
Iptables -A OUTPUT -d localhost -j DROP
e. paramètre interface d'entrée
Interdire tout paquet entrant par eth0. Effacer la règle
iptables -A INPUT -i eth0 -j DROP
interdire un paquet s'il provient de lo . Effacer la règle
iptables -A INPUT -i lo -j DROP
f. paramètre interface de sortie
Interdire tout paquet sortant par eth0. Effacer la règle
iptables -A OUTPUT -o eth0 -j DROP
g. paramètre destination port
Interdire tout paquet à destination du port ftp. Effacer la règle
iptables -A INPUT -p tcp --dport 21 -j DROP
h. paramètre source port
- Interdire tout paquet sortant par eth0 dont le numéro de port source est inférieur à
1024
iptables -A OUTPUT -o eth0 -p tcp --sport 1:1023 -j DROP
iptables -A OUTPUT -o eth0 -p udp --sport 1:1023 -j DROP
- Tester une connexion ftp. Effacer la règle et retester une connexion ftp
i. paramètre flag TCP
Interdire toute tentative d'initialisation de connexion TCP provenant de eth0. Effacer la règle.
iptables -A INPUT -i eth0 -p tcp --syn --sport :1023 -j DROP
j. extension limit
- positionner la police par défaut à DROP pour la chaîne INPUT
Iptables –P INPUT DROP
- écrire une règle qui laisse passer 5 tentatives de connexion TCP puis qui n'en laisse
passer plus que 2 par minute
Page 1 sur 4
SMI6/2015-2016
iptables -A INPUT -p tcp --syn -m limit --limit 2/minute --limit-burst 5 -j ACCEPT
- faire de même avec les pings
iptables -A INPUT -p icmp --icmp-type ping -m limit --limit 2/minute --limit-burst 5 -j
ACCEPT
- effacer la règle
2. Exercice 1
Créer des règles de filtrage pour que votre poste de travail ne peut que "pinguer" les machines
du réseau. Il peut être "pingué" lui-même :
- Effacez toutes les règles qui pourraient exister
- Définissez vos stratégies par défaut (tout le reste doit être bloqué)
- Ecrivez les règles correspondantes
- Testez
Iptables –F
Iptables –P INPUT DROP
Iptables –P OUTPUT DROP
Iptables –P FORWARD DROP
iptables -A OUTPUT -p icmp - -icmp-type echo-request –d 192.168.1.0/24 -j ACCEPT
iptables -A INTPUT -p icmp - -icmp-type echo-reply –s 192.168.1.0/24 -j ACCEPT
iptables -A INPUT -p icmp –s localhost -j ACCEPT
3. Exercice 2
Créer des règles de filtrage pour que votre poste de travail peut seulement surfer sur le web, il
ne peut pas pinguer ni être pingué
Iptables –F
Iptables –P INPUT DROP
Iptables –P OUTPUT DROP
Iptables –P FORWARD DROP
iptables -A OUTPUT -p tcp --dport 80 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -p tcp --dport 443 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -p tcp --dport 53 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -p udp --dport 53 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
4. Exercice 3
Le poste de travail sur lequel vous travaillez devient un serveur web exclusivement. Il ne peut
rien faire d'autre.
- Effacez les règles précédentes
- puis remettre les stratégies à « DROP »
Page 2 sur 4
SMI6/2015-2016
- Vérifiez que l'on peut se connecter sur le poste de travail par ssh
- Vérifiez que l'on peut se connecter sur le poste de travail sur un serveur web (au
besoin installez-le)
- Ecrivez les règles correspondantes
Iptables –F
Iptables –P INPUT DROP
Iptables –P OUTPUT DROP
Iptables –P FORWARD DROP
iptables -A INTPUT -p tcp --dport 80 -m state --state NEW -j ACCEPT
iptables -A INTPUT -p tcp --dport 443 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED -j ACCEPT
5. Exercice 4
Une société dispose de l’adressage 137.204.212.0/24 on veut mettre en place des règles de
filtrages en adéquation avec la politique de sécurité de la société (voir en bas)
137.204.212.208 137.204.212.209
137.204.212.128/25
DMZ
eth0
137.204.212.0/25
Réseau interne eth2 eth1
Internet
Page 3 sur 4
SMI6/2015-2016
Le firewall doit être configuré de telle manière que:
- chaque connexion initiée de l’extérieur et dirigée vers la DMZ doit être autorisée, si
l’adresse IP de destination et le numéro de port correspondent à un serveur accessible
publiquement;
- chaque connexion initiée depuis la DMZ et dirigée vers Internet doit être autorisée;
- chaque connexion initiée depuis le réseau interne et dirigée vers la DMZ ou Internet
doit être autorisée;
- tout le reste doit être bloqué
Donnez la configuration du firewall
- sudo iptables -t filter -P FORWARD DROP
- sudo iptables -t filter -A FORWARD -m state --state ESTABLISHED,RELATED -j
ACCEPT
- sudo iptables -t filter -A FORWARD -i eth1 -d 137.204.212.208 -p tcp --dport 80 -m
state --state NEW -j ACCEPT
- sudo iptables -t filter -A FORWARD -i eth1 -d 137.204.212.209 -p tcp --dport 25 -m
state --state NEW -j ACCEPT
- sudo iptables -t filter -A FORWARD -s 137.204.212.0/24 -o eth1 -m state --state
NEW -j ACCEPT
- sudo iptables -t filter -A FORWARD -s 137.204.212.0/25 -d 137.204.212.128/25 -m
state --state NEW -j ACCEPT
Page 4 sur 4
SMI6/2015-2016