ECOLE CENTRALE DES

LOGICIELS LIBRES ET DE
TELECOMMINUCATIONS

REPUBLIQUE DU SENEGAL

UN PEUPLE -UN BUT -UNE FOI

MINISTERE DE L’ENSEIGNEMENT SUPERIEUR

DIRECTION GENERALE DE L’ENSEIGNEMENT SUPERIEUR

RAPPORT GÉNÉRAL DMZ

RESEAUX ET TELECOMMUNICATIONS

 Présenté par : Sous la direction de

Ismaïla FALL Mr Aly TIRÉRA
 La Zone Démilitarisée (DMZ) avec l’utilitaire iptables
1. Principe de la DMZ
En informatique, une zone démilitarisée, ou DMZ (en anglais, demilitarized
zone) est un sous-réseau séparé du réseau local et isolé de celui-ci et d'Internet
(ou d'un autre réseau) par un pare-feu. Ce sous-réseau contient les machines
étant susceptibles d'être accédées depuis Internet, et qui n'ont pas besoin
d'accéder au réseau local.
Les services susceptibles d'être accédés depuis Internet seront situés en DMZ,
et tous les flux en provenance d'Internet sont redirigés par défaut vers la DMZ
par le firewall. Le pare-feu bloquera donc les accès au réseau local à partir de la
DMZ pour garantir la sécurité. En cas de compromission d'un des services dans
la DMZ, le pirate n'aura accès qu'aux machines de la DMZ et non au réseau
local.
2. Mise en œuvre

Architecture

1
Comme sur l’architecture on configure le pare-feu de sorte qu’il décrive la
notion de DMZ. Le pare-feu dispose de trois interfaces : une reliée au Net
(172.20.10.9), une autre reliée au LAN (192.168.2.254) et la dernière reliée à la
DMZ (192.168.1.254).
La DMZ dispose d’un serveur web accessible depuis le LAN et le Net. Mais les
machines de la DMZ ne doivent pas accéder au LAN.
Le LAN accède au Net par Nat mais toute tentative d’accès au LAN sera refusée.

 Configuration du Pare-feu
Pour permettre à une machine Linux d’autoriser le transfert des datagrammes
IP d’une de ses interfaces à une autre de ses interfaces, il faut éditer le fichier «
/etc/sysctl.conf » et mettre le paramètre :

Ensuite on exécute commande suivante pour appliquer la modification :

 On supprime les règles déjà établies avec la commande « iptables -F »

et on bloque tous les paquets entrants et sortants mais on accepte les
paquets sortants du routeur

 On accepte les paquets de toutes les connexions déjà établies pour les
chaines FORWARD, INPUT et OUTPUT

2
  On accepte les paquets quittant le LAN et la DMZ vers le routeur

 On fait du Nat pour accéder à internet depuis la DMZ vers le Net

 On fait du Nat pour accéder à internet depuis LAN vers le Net

 On fait du Nat pour accéder à la DMZ depuis le LAN

 On fait du Nat de destination de l'internet vers la DMZ sur le port 80

et on autorise les paquets traversants.

 Test de fonctionnent
Tentative de ping de la DMZ vers le LAN

3
Remarquons sur la capture ci-dessus que la connexion DMZ vers LAN est
Impossible.

 Connexion LAN vers le serveur web de la DMZ

 Connexion depuis un Smartphone (172.20.10.2) du réseau d’accès

internet vers le web de la DMZ