Routage et filtrage sous Linux

GNU/Linux: Un Unix libre

Routage et filtrage IP avec Linux.

SCI Limoges

Service Commun Informatique Marcel Giry

version 2.0

Mars 2000 1

Routage et filtrage sous Linux

Plan de la formation:
1-Notions de base sur TCP/IP :
Rappels sur l'adressage IP Principes du routage IP Les protocoles associs IP Rappels sur les connexions TCP et UDP Principe de base des gardes barrires Translation d'adresses, masquage d'adresses

2-Les outils de routage/filtrage sous Linux :

fonctionnalits d'ipchains les principales commandes l'interface graphique easyfw

3-Configuration de base de Linux pour faire du routage:

Installation/configuration des cartes rseau Configuration pour faire du routage (ipchains) Configurer le routage avec easyfw

4- Configuration de base de Linux pour faire du filtrage:

Configuration pour faire du filtrage (ipchains) Configuration le filtrage avec easyfw Quelques exemples de filtrage de trafic

5- Configuration de base de Linux pour faire du masquage:

Fonctions du noyau ncessaires au masquage ( Mandrake 6.1) Interface graphique easyfw Spcificits du masquage

6- Automatiser les procdures:

scripts de dmarrage utilisation du cron

7- Rfrences:
Service Commun Informatique Marcel Giry version 2.0 Mars 2000 2

Routage et filtrage sous Linux

Notions de base sur TCP/IP:

l

L'adressage IP :

Chaque machine d'un rseau IP est rfrence par une adresse IP ( version 4) : code sur 32 bits ( 4 octets) = @ip = #rseau + # machine note sous la forme de 4 nombres spars par des points ( ex : 192.93.116.1) Les rseaux TCP/IP sont rangs en 3 classes principales de A C en fonction de la taille du champ numro de rseau: classe A : 1 127 .X.X.X classe B : 128 191 .X.X.X classe C : 192 223 .X.X.X

Classe A 0xxx xxxx Classe B 10xx xxxx Classe C 110x xxxx Classe D 1110 Classe E 1111 0 N Rseau

N machine N machine N machine N groupe multicast rserves N Machine

1 127.X.X.X 128 191.X.X.X 192 223.X.X.X 224 239.X.X.X > 240.X.X.X

Les classes d'adresses IP Les numros de rseau sont attribus par des organismes officiels . Pour lEurope, il sagit du RIPE ( Rseaux IP Europens ) qui lui-mme dlgue des tranches dadresses aux prestataires daccs lInternet. Seuls restent disponibles des N de classe C Il existe des dadresses prives qui peuvent tre librement utilises pour des usages internes, sur des rseaux non raccords lInternet ( RFC 1918) : En cl asse A : En cl asse B : En cl asse C : 10.X.X.X 172.16.X.X 172.31.X.X 192.168.X.X

Service Commun Informatique Marcel Giry

version 2.0

Mars 2000 3

Routage et filtrage sous Linux

L'administrateur du rseau IP peut dcouper son rseau en plusieurs sous-rseaux : le champ "machine" est dcoup en "sous-rseau+machine"
@ rseau @ sous rseau

@ machine

Utilisation dun sous-rseau IP

Exemples: Classe B B C C Nb bits @sous rseau 0 8 0 3 Nb bits @ machine 16 8 8 5 Masque rseau 255.255.0.0 255.255.255.0 255.255.255.0 255.255.255.224 Nouvelle notation A.B.0.0/16 A.B.C.0/24 A.B.C.0/24 A.B.C.D/27

Les paquets IP qui sont vhiculs sur le rseau contiennent dans l'en-tte, entre autres informations, les @IPsource et @IPdestinataire des stations mettrices et destinatrices.

@IP source

@IP dest

Service Commun Informatique Marcel Giry

version 2.0

Mars 2000 4

Routage et filtrage sous Linux

Principe du routage IP :

Un routeur IP est un quipement qui permet d'interconnecter deux (ou plus) rseaux (ou sous-rseaux) IP. Il possde au moins deux interfaces rseaux raccordes chacune aux rseaux IP interconnecter.

Le principal rle du routeur est de rediriger les paquets IP qu'il reoit sur l'une de ses interfaces, vers l'interface de sortie, en fonction de l'adresse du destinataire (@IPdestinataire) . Pour cela il dispose d'une table de routage interne (tout comme les stations des utilisateurs qui ont dans leur table de routage la "passerelle par dfaut"

Exemple :

164.12.13.1

Internet

164.12.13.2

Routeur
11.11.11.254 192.1.1.28

Rseau A 11.11.11.0
Stations rseau A Stations rseau B Routeur

Exemple de routage destination 11.11.11.0/24 0.0.0.0/0 (default) 192.1.1.0/24 0.0.0.0/0 (default) 11.11.11.0/24 192.1.1.0/24 0.0.0.0/0 (default)

Rseau B 192.1.1.0
Interface Eth0 ( ou @IP de eth0) Eth0 Eth0 ( ou @IP de eth0) Eth0 Eth0 Eth1 PPP0 ( ligne Internet)

Routeur (Gateway) Nant 11.11.11.254 Nant 192.1.1.28 Nant Nant 164.12.13.1

Service Commun Informatique Marcel Giry

version 2.0

Mars 2000 5

Routage et filtrage sous Linux

Les protocoles associs IP :

Au dessus de la couche IP plusieurs protocoles sont utiliss ( TCP, UDP, ) pour vhiculer les donnes entre les applications (http, telnet, ftp, ). ICMP est un sous protocole de IP (niveau3) utilis notamment pour tester l'accessibilit d'une machine ( ping) ou le route utilis pour atteindre une machine (traceroute).

ftp

5-6-7

telnet

smtp

http

r commands UDP

...

Applications spcifiques

4 3 1-2

TCP

Protocoles IP, ARP,ICMP couches physique et liaison Ethernet, IEEE 802.3, IEEE 802.5, Srie PPP

ISO

TCP -IP

Un champ de l'entte IP permet de dterminer le type de protocole utilis au niveau Transport (niveau 4)

@IP source

@IP dest

TCP ou UDP

Message TCP ou Message UDP

Service Commun Informatique Marcel Giry

version 2.0

Mars 2000 6

Routage et filtrage sous Linux

Rappels sur les connexions TCP et UDP :

Enfin au niveau suprieur les applicatifs utilisent des ports (TCP et/ou UDP). Cot destinataire les applicatifs serveurs utilisent des ports prdfinis dfinis: ftpd : tel n etd : httpd : etc .. TCP 21 ( et 20 pour l es don nes) TC P 2 3 TC P 8 0

Cot metteur, le logiciel client utilise un port utilisateur disponible.

@IP source

@IP dest

TCP ou UDP

P.source P.dest P.source P.dest

Donnes de l application Donnes de l application

Une connexion entre un processus client et un processus serveur est matrialise par le couple de triplets [ (@IPsource, TCP/UDP, port source) , (@IPdest., TCP/UDP, port dest.) ]

Applications

Application

Application Port source Port destination

Transport Rseau Liaison Physique

TCP

UDP

TCP

UDP

IP , ARP, ICMP IEEE 802.x ATM FDDI PPP ...

IP , ARP, ICMP IEEE 802.x ATM FDDI PPP ...

Rseau IP

Modle TCP/IP

Service Commun Informatique Marcel Giry

version 2.0

Mars 2000 7

Routage et filtrage sous Linux

Principe de base des gardes barrires ( Firewall)

On distingue essentiellement deux types de gardes barrires:

les gardes barrires filtrants ( Filtering Firewalls)

Ces gardes barrires sont en fait des routeurs qui filtrent certains paquets. Les filtres se prsentent sous forme de listes d'accs (Access-Lists). Les filtres peuvent s'appliquer au niveau : - des adresses IP - du protocole encapsul dans IP (ICMP, TCP, UDP, ) - des ports destinataires c'est--dire des applicatifs sollicits : (telnet, ftp, http, mail, news, irc, ) TCP ou UDP

@IP source

@IP dest

P.source P.dest P.source P.dest

Donnes de l application Donnes de l application

Filtrage niveau IP

Filtrage niveau applicatif

Filtrage niveau protocole

les gardes barrires mandataires ( Proxy Firewalls)

Ces gardes barrires travaillent au niveau applicatif et accdent au rseau extrieur pour le compte de l'usager final ( proxy telnet, proxy Web, ) Le proxy-Web assure souvent en plus le rle de cache-Web pour diminuer le trafic vers l'extrieur (Squid sous Unix).

Service Commun Informatique Marcel Giry

version 2.0

Mars 2000 8

Routage et filtrage sous Linux

Translation d'adresses, masquage d'adresses

La translation d'adresse Rseau ( Nat)
La translation d'adresse est utilise pour pallier une insuffisance d'adresses rseau officielles (par exemple raccorder un rseau interne de 1000 machines alors que l'on ne dispose que d'un rseau de classe C, soit 254 adresses). Dans l'exemple ci-dessous: - le rseau interne utilise des adresses prives de classe A (10.0.0.0/8) - le rseau externe utilise des adresses externes de classe C officielles attribues par le prestataire (195.195.195.0/24) - la translation est statique sur les serveurs (www, ftp, ) et dynamique sur les autres machines. La translation se fait au niveau IP.
www 10.11.12.1 Table de translation 10.11.12.1 10.11.12.2 10.122.123.2 10.54.92.4 10.4.5.6 . 195.195.195.1 www.truc.fr statique 195.195.195.2 ftp.truc.fr 195.195.195.15 195.195.195.16 dynamique 195.195.195.17 .

serveurs
ftp 10.11.12.2 Rseau IP 10.0.0.0/8

Vu de l extrieur rseau IP 195.195.195.0

Postes clients
Clients 10.0.0.x

Rseau externe

rseau IP d interconnexion

Translation d adresses IP par un routeur

Service Commun Informatique Marcel Giry

version 2.0

Mars 2000 9

Routage et filtrage sous Linux

Le masquage d'adresse rseau ( masquerading)

Le masquage d'adresse est utilis pour connecter un ensemble de machines un rseau extrieur en utilisant l'adresse externe du routeur d'interconnexion. Dans l'exemple ci-dessous: - le rseau interne utilise des adresses prives de classe C (192.168.100.0/24) - le site ne dispose que d'une adresse externe, celle de l'interface du routeur vers le rseau d'interconnexion, attribue par le prestataire ( 193.1.1.2/32) - seul le routeur est visible de l'extrieur ( pas de serveurs visibles de l'extrieur sur le rseau interne).

Table de masquage 192.168.100.3, TCP, 2048 192.168.100.12, TCP, 2048 192.168.100.15, TCP, 2048 192.168.100.3, UDP, 512 .. .. 193.1.1.2, TCP, 1012 193.1.1.2, TCP, 1013 193.1.1.2, TCP, 1018 193.1.1.2, UDP, 456 . . Vu de l extrieur seul le routeur est accessible

dynamique

Rseau IP 192.168.100.0/24

Postes clients

Rseau externe 193.1.1.2 193.1.1.3

masquage d adresses IP par un routeur

rseau IP d interconnexion

Service Commun Informatique Marcel Giry

version 2.0

Mars 2000 10