Sécurité des réseaux

Proposition de solution pour TP 4 : systèmes pare-feu

1. Introduction : Exemple d’opérations sur une seule chaîne

Créer les règles suivantes :

a. paramètre protocole
Interdire le protocole icmp. Effacer la règle
Iptables –A INPUT -p icmp DROP
Iptables –A OUTPUT -p icmp DROP

b. paramètre source
Interdire le protocole icmp provenant de localhost. Effacer la règle
Iptables -A INPUT -p icmp -s localhost -j DROP
c. chaîne OUTPUT paramètre destination
Interdire tout paquet à destination de localhost. Effacer la règle
Iptables -A OUTPUT -d localhost -j DROP
e. paramètre interface d'entrée
Interdire tout paquet entrant par eth0. Effacer la règle
iptables -A INPUT -i eth0 -j DROP
interdire un paquet s'il provient de lo . Effacer la règle
iptables -A INPUT -i lo -j DROP
f. paramètre interface de sortie
Interdire tout paquet sortant par eth0. Effacer la règle
iptables -A OUTPUT -o eth0 -j DROP
g. paramètre destination port
Interdire tout paquet à destination du port ftp. Effacer la règle
iptables -A INPUT -p tcp --dport 21 -j DROP
h. paramètre source port
- Interdire tout paquet sortant par eth0 dont le numéro de port source est inférieur à
1024
iptables -A OUTPUT -o eth0 -p tcp --sport 1:1023 -j DROP
iptables -A OUTPUT -o eth0 -p udp --sport 1:1023 -j DROP
- Tester une connexion ftp. Effacer la règle et retester une connexion ftp
i. paramètre flag TCP
Interdire toute tentative d'initialisation de connexion TCP provenant de eth0. Effacer la règle.
iptables -A INPUT -i eth0 -p tcp --syn --sport :1023 -j DROP
j. extension limit
- positionner la police par défaut à DROP pour la chaîne INPUT
Iptables –P INPUT DROP

- écrire une règle qui laisse passer 5 tentatives de connexion TCP puis qui n'en laisse
passer plus que 2 par minute

Page 1 sur 4
SMI6/2015-2016
 iptables -A INPUT -p tcp --syn -m limit --limit 2/minute --limit-burst 5 -j ACCEPT
- faire de même avec les pings
iptables -A INPUT -p icmp --icmp-type ping -m limit --limit 2/minute --limit-burst 5 -j
ACCEPT
- effacer la règle

2. Exercice 1
Créer des règles de filtrage pour que votre poste de travail ne peut que "pinguer" les machines
du réseau. Il peut être "pingué" lui-même :
- Effacez toutes les règles qui pourraient exister
- Définissez vos stratégies par défaut (tout le reste doit être bloqué)
- Ecrivez les règles correspondantes
- Testez
Iptables –F
Iptables –P INPUT DROP
Iptables –P OUTPUT DROP
Iptables –P FORWARD DROP
iptables -A OUTPUT -p icmp - -icmp-type echo-request –d 192.168.1.0/24 -j ACCEPT
iptables -A INTPUT -p icmp - -icmp-type echo-reply –s 192.168.1.0/24 -j ACCEPT
iptables -A INPUT -p icmp –s localhost -j ACCEPT

3. Exercice 2
Créer des règles de filtrage pour que votre poste de travail peut seulement surfer sur le web, il
ne peut pas pinguer ni être pingué

- Effacez les règles précédentes

- Conserver les stratégies à "DROP"

- Ecrivez les règles correspondantes
- Testez

Iptables –F
Iptables –P INPUT DROP
Iptables –P OUTPUT DROP
Iptables –P FORWARD DROP
iptables -A OUTPUT -p tcp --dport 80 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -p tcp --dport 443 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -p tcp --dport 53 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -p udp --dport 53 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

4. Exercice 3
Le poste de travail sur lequel vous travaillez devient un serveur web exclusivement. Il ne peut
rien faire d'autre.
- Effacez les règles précédentes
- puis remettre les stratégies à « DROP »

Page 2 sur 4
SMI6/2015-2016
 - Vérifiez que l'on peut se connecter sur le poste de travail par ssh
- Vérifiez que l'on peut se connecter sur le poste de travail sur un serveur web (au
besoin installez-le)
- Ecrivez les règles correspondantes

Iptables –F
Iptables –P INPUT DROP
Iptables –P OUTPUT DROP
Iptables –P FORWARD DROP
iptables -A INTPUT -p tcp --dport 80 -m state --state NEW -j ACCEPT
iptables -A INTPUT -p tcp --dport 443 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED -j ACCEPT

5. Exercice 4
Une société dispose de l’adressage 137.204.212.0/24 on veut mettre en place des règles de
filtrages en adéquation avec la politique de sécurité de la société (voir en bas)

137.204.212.208 137.204.212.209

137.204.212.128/25

DMZ

eth0
137.204.212.0/25
Réseau interne eth2 eth1

Internet

137.204.212.11 137.204.212.12 137.204.212.13

La politique de sécurité de la société requiert deux niveaux de sécurité:

- Les hôtes sur le réseau interne, doivent être protégés des accès non autorisés depuis
Internet
- Les serveurs de la DMZ, doivent être accessibles depuis l’extérieur.

Page 3 sur 4
SMI6/2015-2016
Le firewall doit être configuré de telle manière que:
- chaque connexion initiée de l’extérieur et dirigée vers la DMZ doit être autorisée, si
l’adresse IP de destination et le numéro de port correspondent à un serveur accessible
publiquement;
- chaque connexion initiée depuis la DMZ et dirigée vers Internet doit être autorisée;
- chaque connexion initiée depuis le réseau interne et dirigée vers la DMZ ou Internet
doit être autorisée;
- tout le reste doit être bloqué
Donnez la configuration du firewall
- sudo iptables -t filter -P FORWARD DROP
- sudo iptables -t filter -A FORWARD -m state --state ESTABLISHED,RELATED -j
ACCEPT
- sudo iptables -t filter -A FORWARD -i eth1 -d 137.204.212.208 -p tcp --dport 80 -m
state --state NEW -j ACCEPT
- sudo iptables -t filter -A FORWARD -i eth1 -d 137.204.212.209 -p tcp --dport 25 -m
state --state NEW -j ACCEPT
- sudo iptables -t filter -A FORWARD -s 137.204.212.0/24 -o eth1 -m state --state
NEW -j ACCEPT
- sudo iptables -t filter -A FORWARD -s 137.204.212.0/25 -d 137.204.212.128/25 -m
state --state NEW -j ACCEPT

Page 4 sur 4
SMI6/2015-2016