Pare-feu

CHAPITRE 4
Par : Ali GHORBEL
Ali.ghorbel@esprit.tn

1
 Plan
Introduction
Défense en profondeur
Les menaces réseaux
Firewall/Pare-feu
● Fonctionnement d'un firewall
● Architecture et déploiement d'un firewall
● La zone DMZ
● Types de firewall
 Introduction

La sécurité du réseau se réfère à toutes les activités visant

à protéger le réseau de l'entreprise.

Les activités et composants de sécurité réseaux visent à protéger:

Network and data

Usability Integrity Fiability
security

La mise en place d'une politique de sécurité réseau efficace vise à

protéger contre une variété de menaces et empêche toute
pénétration ou propagation sur un réseau.
 Les défenses matérielles
Les défenses matérielles interviennent au niveau de l’architecture du
réseau, directement sur le support sur lequel est stockée l’information à
protéger (protection d’une base de données centralisée sur le disque dur
d’un serveur par exemple), sur les médias servant à transporter cette
information (sécurisation du réseau sans fil) et sur les équipements
intermédiaires traversés lors du transport (utilisation d’un firewall installé
sur le routeur d’accès).
Par ailleurs, quelques principes de base doivent être respectés pour
assurer l’efficacité des défenses :
Principe du moindre privilège: chaque élément du système (utilisateur,
logiciel) ne doit avoir que le minimum de privilèges nécessaires pour
accomplir sa tâche (les utilisateurs ne doivent pas être administrateurs,
une session sur un serveur web est ouverte par défaut sur un compte
utilisateur …).
 Les défenses matérielles

Interdiction par défaut : dans la mesure où toutes les menaces ne

peuvent être connues à l’avance, il est mieux d’interdire tout ce qui n’est
pas explicitement permis que de permettre tout ce qui n’est pas
explicitement interdit (sur un firewall, il vaut mieux commencer par
fermer tous les ports pour n’ouvrir ensuite que ceux qui sont
nécessaires).
Participation des utilisateurs : un système de protection n’est efficace
que si tous les utilisateurs le supportent, un système trop restrictif
pousse les utilisateurs à devenir créatifs.
Simplicité : la plupart des problèmes de sécurité ont leur origine dans
une erreur humaine. Dans un système simple, le risque d’erreur est plus
faible et les analyses sont plus rapides.
 Défense en profondeur
Potential Attack
 Mise en place de WWW

Physical security Network-based

plusieurs couches de Firewall Internal
Policies and procedures
sécurité. Router Firewall

Router/Firewall/VPN VPN WWW IPS

 Si l'une des couches est DMZ DNS

@ Network
IPS
Host-based
Firewall
Network
compromise ou défaillante Security architecture ID
IDS
IDS
S Host-based
les autres sont encore Account Management IDS

Internal devices
debout. Host-based
Antivirus

Plusieurs mesures de sécurité valent mieux qu’une (anti-spam sur

les postes de messagerie et sur les postes de travail, firewall sur
le routeur d’accès et sur les machines d’extrémité …).
 Les menaces réseaux
Beaucoup de menaces de sécurité réseau sont aujourd'hui réparties
Internet.

Advanced Evasion Techniques (AET)

Advanced Persistant Threat (APT)
Virus, vers et chevaux de Troie
Spyware et adware
Attaques zero-day
Attaques de pirates
Attaques par déni de service DoS
Interception de données et vol d'identité
4
 Composants de sécurité réseau

Un système de sécurité réseau est constitué de plusieurs

composants:
Pare-feu/Firewall
Système de détection d'intrusions (IDS)
Système de prévention d'intrusions (IPS)
Antivirus et antispyware
Virtual Private Network (VPN)
Tous les composants travaillent ensemble, ce qui minimise la
maintenance et améliore la sécurité.
Les Firewalls
 Firewall
Définition:
Une passerelle inter-réseau qui restreint le trafic de communication de
données vers et depuis l'un des réseaux connectés, celui dit être à
l'intérieur du pare-feu, et protéger ainsi les ressources système du
réseau contre les menaces provenant de l'autre réseau.

Il peut être logiciel ou matériel dédié permettant d'examiner tous les

paquets en entrée ou sortie du réseau local et de bloquer tous ceux qui
ne remplissent pas les critères de sécurité spécifiés. 9
 Pourquoi un firewall?
De nos jours, toutes les entreprises possédant un réseau local possèdent
aussi un accès à Internet, afin d’accéder à la manne d’information
disponible sur le réseau des réseaux, et de pouvoir communiquer avec
l’extérieur.
Cette ouverture vers l’extérieur est indispensable et dangereuse en
même temps.
Ouvrir l’entreprise vers le monde signifie aussi laisser place ouverte aux
étrangers pour essayer de pénétrer le réseau local de l’entreprise, et y
accomplir des actions douteuses, parfois gratuites, de destruction, vol
d’informations confidentielles, …
Les mobiles sont nombreux et dangereux.
Pour parer à ces attaques, une architecture sécurisée est nécessaire.
Pour cela, le cœur d’une telle architecture est basé sur un firewall.
9
 Pourquoi un firewall?
Cet outil a pour but de sécuriser au maximum le réseau local de l’entreprise, de
détecter les tentatives d’intrusion et d’y parer au mieux possible.
Cela représente une sécurité supplémentaire rendant le réseau ouvert sur
Internet beaucoup plus sûr.
De plus, il peut permettre de restreindre l’accès interne vers l’extérieur.
En effet, des employés peuvent s’adonner à des activités que l’entreprise ne
cautionne pas, le meilleur exemple étant le jeu en ligne.
En plaçant un firewall limitant ou interdisant l’accès à ces services, l’entreprise
peut donc avoir un contrôle sur les activités se déroulant dans son enceinte.
Le firewall propose donc un véritable contrôle sur le trafic réseau de
l’entreprise.
Il permet d’analyser, de sécuriser et de gérer le trafic réseau, et ainsi d’utiliser le
réseau de la façon pour laquelle il a été prévu et sans l’encombrer avec des
activités inutiles, et d’empêcher une personne sans autorisation d’accéder à ce
réseau de données. 9
 Firewall

Un firewall est utilisé pour

restreindre l'accès à un réseau à partir d'un autre réseau

Un firewall comporte au minimum deux interfaces réseau.

Une interface pour le réseau externe ou Une interface pour le réseau à protéger
Internet (réseau interne ou LAN)

Firewall

Internet

Local Area Network

Firewall
 Ce que fait un Firewall ?

 Prévenir des scans réseau

 Contrôle du trafic

 Authentification des utilisateurs

 Filtrage des paquets, services et protocoles

 Journalisation

 Translation d’adresse réseau

Ce que ne fait pas un Firewall ?

Ne prévient pas des backdoors

Ne protège pas des menaces internes

N’est pas une alternative aux antivirus et antimalwares

Ne prévient pas contre les attaques de social engineering

Ne prévient pas contre la mauvaise utilisations des mots de passe

 Types de firewalls

Logiciel Appliance
Types de firewalls
Types de firewalls
Types de firewalls
 Firewall
Un firewall logiciel peut être installé sur n'importe quelle machine et
avec n'importe quel système d'exploitation pourvu que:
La machine soit suffisamment puissante pour traiter le trafic réseaux
la traversant.
Aucun autre service que celui du firewall ne fonctionne sur le serveur.
Le système soit sécurisé.

Les firewalls peuvent filtrer les messages en se basant sur:

Le type du trafic (protocole)
Les adresses source et destination
les numéros de ports.
 Fonctionnement d'un Firewall
Un système Firewall contient un ensemble de règles prédéfinies
permettant :
 D’autoriser la connexion (allow)
 De bloquer la connexion (deny)
 De rejeter la demande de connexion sans avertir l’émetteur (drop)
L’ensemble de ces règles permet de mettre en œuvre une méthode de
filtrage dépendant de la politique de sécurité adoptée par l’entité. On
distingue habituellement deux types de politiques de sécurité
permettant :
 Soit d’autoriser uniquement les communications ayant été
explicitement autorisées: «Tout ce qui n’est pas explicitement autorisé
est interdit»
 Soit d’empêcher les échanges qui ont été explicitement interdits.
La première méthode est sans nul doute la plus sûre, mais elle impose
toutefois une définition précise et contraignante des besoins en
communication.
 Exemple de règles

Internet
193.1.1.0

Action Protocole source port destination Port flag

Deny IP 193.1.1.0 * 10.1.1.1 *

Allow TCP 193.1.1.0 * * 80

Allow TCP * 80 193.1.1.0 * ACK
Drop IP * * * *

Règle1:
Toute connexion depuis le réseau interne (193.1.1.0) vers le serveur distant 10.1.1.1 est bloquée.
Règle2:
Seulement les connexions HTTP (TCP, port 80) depuis le réseaux interne (193.1.1.0), sont permises.
Règle3:
Seulement le trafic web en réponse à une connexion déjà initiée du réseau interne sera accepté de l’extérieur.
Règle4: Interdiction par défaut.
 Architecture de Firewall (1/3)
Bastion host est une machine conçue et configurée pour protéger
les ressources réseaux des attaques externes.
Cette machine fournit un point d'entrée et de sortie unique vers
Internet ou réseau externe.
Elle comporte deux interfaces:
Interface publique connecté edirectement vers l'Internet.
Interface privée connectée vers le réseau local.

Bastion Host

Internet Firewall Intranet

 Architecture de Firewall (2/3)
Screened subnet firewall permet aux entreprises d'offrir des services en
toute sécurité pour les utilisateurs d'Internet.
Tous les serveurs hébergeant des services publics (accessibles à partir
de l'Internet) sont placés dans la zone démilitarisée (DMZ).
 La zone DMZ est séparée de l'Internet et du réseau Intranet par le
firewall.
 Les services de la zone DMZ répondent aux requêtes du réseau public.

Le réseau interne (Intranet)

n'est pas accessible à partir du
réseau externe (Internet). DMZ

Internet Firewall Intranet

12
 Architecture de Firewall (3/3)
Multi-homed firewall réfère à une architecture de deux
réseaux ou plus.
Multi-homed firewall est équipé de trois interfaces réseaux ou
plus permettant de subdiviser le réseau en se basant sur les
objectifs de sécurité spécifiques de l'organisation.
Chaque interface est connectée à un segment réseau séparé.

DMZ

Internet Firewall 1 Firewall 2 Intranet

 http, TCP/80
172.16.2.101
DMZ
172.16.2.0/24 smtp, TCP/25
172.16.2.102
telnet, TCP/23
172.16.2.103
DNS, UDP/53
172.16.2.104

eth0
wan0 eth1
Internet
Firewall LAN
172.16.1.0/24
 C'est quoi une zone DMZ?

Une zone DMZ (DeMilitarized Zone)

est une zone de réseau privée
ne faisant partie ni du LAN privé ni de l’Internet
 DMZ
Concrètement, c’est une machine ou un réseau placé comme un réseau
neutre entre le réseau privé (Intranet) et le réseau public (Internet) pour
empêcher tout accès du réseau public vers les ressources et données du
réseau privé.
Elle est isolée par un firewall mais avec des règles de filtrage moins
contraignantes que le LAN.
 DMZ

Un niveau supplémentaire de sécurité peut être introduit avec un deuxième

firewall. Les règles d’accès sur le firewall du LAN privé sont plus restrictives. La
DMZ est située entre deux firewalls (DMZ « en sandwich ») avec des règles
moins restrictives introduites par le premier firewall.
 C'est quoi un Proxy?

Un système mandataire (Proxy) repose sur un accès à l’Internet pour

une machine dédiée : le serveur mandataire ou Proxy server, joue le rôle
de mandataire pour les autres machines locales et exécute les requêtes
pour le compte de ces dernières.
Un serveur mandataire est configuré pour un ou plusieurs protocoles de
niveau applicatif (HTTP, FTP, SMTP, …) et permet de centraliser, donc de
sécuriser, les accès extérieurs (filtrage applicatif, enregistrement des
connexions, masquage des adresses des clients, …).
Les serveurs mandataires configurés pour HTTP permettent également
le stockage des pages web dans un cache pour accélérer le transfert des
informations fréquemment consultées vers les clients connectés (Proxy
cache).
C'est quoi un Proxy?
 Evolution des Firewalls

1st generation: Packet Filter

2nd generation: Application Proxy Filter

3rd generation: Stateful Inspection

4th generation: Adaptive Response 5th

generation: Kernel Proxy

Packet Filter Firewall /Filtrage Simple
Fonctionne au niveau de la couche 3 du modèle OSI
(parfois couche 4).
Chaque paquet est comparé à un ensemble de critères
(décrits sous forme de règles) avant de le rediriger.
En fonction du paquet et des critères, le firewall peut
accepter le paquet, le bloquer ou le rejeter.
Les règles de filtrages peuvent inclure:
 Adresse IP source et destination
 Numéro de port source et destination
 Type de protocole à filtrer.
Packet Filter Firewall /Filtrage Simple
Les adresses IP permettent
d'identifier la machine
émettrice et la machine cible.

Le type du paquet et le
numéro de port donnent
une indication sur le
type de service transporté.
Le tableau ci-dessous donne des
exemples de règles de pare-feu :
Packet Filter Firewall /Filtrage Simple

Les limites:

 Pas d’authentification des utilisateurs

 Pas de traces des sessions individuelles

 Problème de performance s’il y a trop de règles

 Ce type de filtrage ne résiste pas à certaines attaques

de type IP Spoofing/ IP Flooding ou encore certaines
attaques de type DoS.
Application Proxy Filter/Filtrage Applicatif
Si le filtrage simple ne protège pas pour autant de
l'exploitation des failles applicatives.
 Pas de contrôle du contenu HTTP.
 Ne supporte pas l’authentification des utilisateurs ou des applications.

Le filtrage applicatif permet de filtrer les communications application

par application. Opérant au niveau 7 (couche application) du modèle
OSI:
 Filtrer le contenu & détecter les intrusions
 Limiter l’envoi & la réception de courriers non sollicités (SPAM).

 Bloquer l’envoi & la réception de certains documents (.exe, multimédias,

etc)
 Empêcher certaines applications (eMule, Kazaa, BitTorrent, Morpheus...)
 Empêcher certains scirpts: ActiveX filter, invalid URL, Cookies Filter,
Application Proxy Filter/Filtrage Applicatif

Il s'agit d'un dispositif performant.

En contrepartie, une analyse fine des données applicatives
se traduit donc souvent par un ralentissement des
communications, chaque paquet devant être finement
analysé.
Une évolutivité limitée
 Solution: le filtrage niveau 3 et 4 fait par la routeur et
décharger au maximum le firewall pour l’inspection
applicative
 Stateful Inspection Firewall

Le filtrage dynamique ou "Stateful Inspection" garde une trace

des paquets et conserve les sessions et les connexions.

Maintient une table d'états en interne qui suit la session de

chaque communication jusqu'à sa fermeture.

Fournit des données pour le suivi des protocoles sans

connexion comme UDP et ICMP.

Le filtrage dynamique permet de protéger le réseau face à

certains types d'attaques DoS.
 Stateful Inspection Firewall

Un dispositif pare-feu de type "stateful inspection" est ainsi

capable d'assurer un suivi des échanges:
 Contrôle de l’établissement d’une connexion TCP (SYN)
 Les numéros de séquences TCP (SEQ).
 Connexion FTP qui utilisent
des ports dynamiques >
1023
 UDP based applications
 Etc.
Stateful Inspection Firewall
 Adaptive Response Firewall

Une amélioration dans la technologie d'un firewall lui permettant de

communiquer avec un système de détection et de prévention
d'intrusion.

Ce type de firewall permet d'obtenir une réponse adaptative aux

attaques du réseau.

Le firewall peut s'auto-reconfigurer pour bloquer des ports ou

réinitialiser des connexions.

Les firewalls de 4ème génération peuvent accidentellement

désactiver des dispositifs équipements critiques ce qui peut
provoquer un problème de déni de service.
 Kernel Proxy Firewall
Kernel proxy firewall est diffèrent de toutes les quatre
technologies de firewall présentées car il crée une pile de
couches réseaux dynamique et spécifique quand un paquet
nécessite d'être évalué.

Lorsqu'un paquet arrive à un kernel proxy firewall, une

nouvelle pile de réseau virtuel est créée, qui est constituée de
seulement les protocoles nécessaires pour examiner ce
paquet spécifique.

Kernel firewall est plus rapide que le firewall applicatif parce

que toutes les tâche d'inspection et de transformation se
déroulent dans le noyau sans avoir à les passer vers une couche
logicielle supérieure dans le système d'exploitation.
 Critères de choix d’un firewall

Nature et nombre d'applications (FTP, messagerie, HTTP, Vidéo …)

Type de filtre (méthodes de filtrage)
Facilité à enregistrer les actions (login, paramètres de connexion, ...)
à des fins d'audit
Outils et facilité d'administration (interface graphique,)
Simplicité du système pare-feu (facile à comprendre par le(s)
administrateur(s))
Capacité à supporter un tunnel chiffré
Disponibilité d'outils de surveillance, d'alarmes.
 Déploiement d'un Firewall FW

Passerelle de réseau d'entreprise

• Protéger le réseau interne contre les attaques.
• Point de déploiement le plus courant

Passerelle segment interne

• Protéger les segments sensibles (ressources
humaines, …)
• Fournir une deuxième couche de défense
• Protection contre les attaques internes et
l'utilisation abusive

Server-Based Firewall
• Protéger les serveurs d'applications
individuels
• Protéger les fichiers
26
Exemples de déploiement de Firewall
 Honeypots

Firewall

Switch

LAN

Une formation

Honeypots
 Honeypots

Objectif : détecter les intrusions à l’aide de machines et/ou

réseaux leurres non sécurisés et surveillés
Principe du low hanging fruit
– L’attaquant recherche souvent des cibles faciles à attaquer
– On lui en propose afin de :
1. Détecter sa présence
2. Lui faire perdre du temps
Le pot de miel peut être soit une machine, soit tout un
réseau, souvent entièrement émulé ou faisant appel à des
machines virtuelles
Permet de détecter de nouvelles attaques et de comprendre
la façon d’opérer de l’attaquant
 Honeypots

Avantages

Désorienter le hacker
Identifier des menaces
Facilité de déploiement
Identification de 0-day

Identification des menaces internes

Une formation
 iptables
L'architecture du noyau pour le système de firewall s'appelle 'netfilter'
Netfilter se base sur 3 listes de règles pour définir son comportement vis-à-vis d'un
paquet

Si le paquet entrant est destiné à cette machine, le paquet passe dans la chaîne
INPUT.
Si le forwarding est autorisé et que le paquet est destiné à un autre réseau, le paquet
va directement à la chaîne FORWARD.
La chaîne OUTPUT concerne les paquets qui ont été créés par la machine locale.
 iptables
Les règles de filtrage déterminent le devenir des paquets grâce à une police qui
peut être : ACCEPT, REJECT, DENY, MASQ ou encore une redirection vers une
chaîne.
Les règles sont groupées en chaînes qui peuvent être celles de base : input,
forward, output ou d’autres définies par l’utilisateur.
Les paquets entrants dans le pare-feu arrivent automatiquement dans la chaîne
input. Ceux qui sont émis par le pare-feu, passent dans la chaîne output. Et ceux
qui sont retransmis passent par la chaîne forward.
Un paquet qui entre dans une chaîne teste toutes les règles de la chaîne jusqu’à
en trouver une qui lui corresponde. Et il obéit à la police spécifiée par la règle
trouvée.
Si aucune règle s’appliquant au paquet n’a été trouvée, alors c’est la police par
défaut de la chaîne qui est utilisée pour savoir que faire de ce paquet.
Il est donc important, avant de créer les règles, de définir la police par défaut
d’une chaîne.
 iptables

Exemple:

Vu du Pare-feu, Le trafic
• Internet => local est FORWARD
• local => Internet est FORWARD
Une requête
• "ping request" local => pare-feu est INPUT
• "ping request" Internet => pare-feu est INPUT
• "ping reply" pare-feu => Internet est OUTPUT
• "ping reply" pare-feu => local est OUTPUT
 iptables
Chacune de ces chaînes peut donner plusieurs réponses possibles pour
chaque paquet:
Accepter ACCEPT
Rejeter REJECT (on signale le rejet à l'expéditeur)
Supprimer DROP (on l'efface et on ne répond rien)
L'administrateur peut créer des chaînes personnalisées en plus des 3
chaînes par défaut qui lui permettent d'organiser ses règles de filtrage de
manière plus propre et optimisée.
Les règles reposent sur des critères de sélection très variés :
Machine source; Port source
Machine destination; Port destination
Interface; Protocole; Drapeaux spéciaux du paquet TCP
Types et codes spéciaux du paquet ICMP
 iptables

Chaînes
Création (N)
vidage (F)
suppression (X)
affectation d’une police (P)
affichage (L)

Règles
ajout en fin de liste (A), insertion ordonnée (I)
suppression (D)
remplacement (R)
test (C)
 Iptables
Protection de la machine locale

# iptables -L -v
-L : liste les règles
-v demande le mode 'verbeux‘

policy : comportement par défaut

Dans cet exemple netfilter accepte donc tous les paquets, le firewall est en mode passif.
 iptables
Par défaut iptables utilise la table ‘filter' si on ne lui spécifie par une autre
table via l'option '-t nom_de_table').
Exemple1: Interdire les connexions sur le port 22 (ssh),
# iptables -A INPUT -p tcp --dport 22 -j DROP
-A INPUT => ajoute en bas de la liste des règles de la chaîne INPUT

-p tcp => pour les paquets qui utilisent les protocole TCP

--dport => pour les paquets qui sont à destination du port 22

-j DROP => l'action : DROP les paquets (on efface les paquets),

# iptables -L -v
 iptables

Exemple1: autoriser uniquement votre voisin à se connecter sur votre

machine en ssh
 insérer une règle pour votre voisin avant la règle qui DROP les
paquets
# iptables -I INPUT 1 -p tcp --dport
22 -s adresse_ip_du_voisin -j ACCEPT
le ' -I INPUT 1' signifie insère en première position dans la
liste

-s permet de choisir la source des paquets,

 iptables
Ilexiste plusieurs options pour construire les règles de filtrage, parmi
les plus utilisées on trouve :
-s : sélection de l'adresse IP source (ou réseau source) d'où vient le paquet
-d : sélection de l'adresse IP de destination (ou réseau de destination) où va
le paquet
--dport : port destination (le port sur lequel le client essaye de se
connecter) vers quel port a été émis le paquet
--sport : port source (le port utilisé par le client pour créer la connexion)
depuis quel port a été émis le paquet
-p suivi d'un nom de protocole
-i : spécifie le nom de l'interface physique à travers laquelle les paquets
entrent
-o : spécifie le nom de l'interface physique à travers laquelle les paquets
sortent
 iptables

# iptables -D INPUT 1
efface la première règle de la chaîne INPUT.

# iptables -L -v --line-numbers
voir les numéros de chaque règle lorsqu'on liste les règles

# iptables -A chaine -m multiport -p tcp

--dports port1,port2,port3 -j

 A ajout,
 D supprime,
 I insère,
 L liste
 F efface toutes les règles mais pas la stratégie par défaut,
 iptables

Les commandes de iptables associées à la gestion des chaînes sont

les suivantes :
-N : création d'une nouvelle chaîne (iptables -N INTERNET)
-X : suppression d'une chaîne vide (iptables -X INTERNET)
-P : Mise en place de la règle par défaut pour une chaîne existante
(iptables -P INPUT DROP). Seules les chaînes INPUT, FORWARD et
OUTPUT peuvent avoir une règle par défaut et les seules cibles
disponibles sont ACCEPT et DROP.
-L : lister les règles d'une chaîne (iptables -L INTERNET)
-F : effacer les règles d'une chaîne (iptables -F INTERNET)
 iptables

Exemple

Création d'une chaîne spécifique

# iptables -N ssh
On indique à la chaîne INPUT que tout ce qui concerne ssh doit être
transmis à cette nouvelle chaîne
# iptables -A INPUT -p tcp --dport 22 -j ssh
On rajoute nos règles de filtrages dans la chaîne ssh
- on accepte que le voisin se connecte
# iptables -A ssh -s ip_machine_du_voisin -j ACCEPT
- on interdit au reste du monde de se connecter
# iptables -A ssh -j DROP
iptables
iptables
 iptables

Exemple
Interdire accès depuis l’extérieur (eth1)
Autoriser accès ssh (administratif)
Autoriser voie de retour

Règles
#iptables -A INPUT -i eth1 -j DROP
#iptables -I INPUT 1 -p tcp --dport 22 -j ACCEPT
#iptables -I INPUT 2 -m state --state ESTABLISHED -
j ACCEPT
 Suivi de connexion

Le module 'state' définit plusieurs états possibles pour les flux

réseaux :
- NEW : c'est une nouvelle connexion
- ESTABLISHED : on connaît déjà cette connexion (elle est passée
par l'état NEW il y a peu de temps)
- RELATED : cela permet d'identifier une connexion qui serait liée
ou dépendant d'une connexion déjà ESTABLISHED.
- INVALID : tout ce qui n'est pas correctement identifiable
 Exemple: FTP

le protocole FTP utilise 2 connexions TCP pour communiquer.

Une sert à envoyer les commandes du client vers le serveur et
Une sert à envoyer les données du serveur vers le client.

Dans son fonctionnement standard, un client FTP se connecte sur le port 21

du serveur FTP. Le client indique ensuite au serveur sur quel port il (le
client) recevra les données. Le serveur FTP va alors établir une connexion
depuis son port 20 vers le port (>1023) indiqué par le client :

Client FTP (port source aléatoire 'a') -----> Serveur FTP (port 21) Client FTP
(port 'a') ----> Serveur FTP (port 21)
(le client indique au serveur FTP sur quel port il devra envoyer les données, par ex 3084)
Serveur FTP (port 20) -----> Client FTP (port 3084) (le serveur transfert des données vers
le client)
 Exemple: FTP

Si le client est protégé par un firewall netfilter, l'administrateur devrait donc

autoriser toutes les connexions venant de l'extérieur vers tous les ports
supérieurs à 1023 du client.
- Pas d’intérêt pour le firewall
conntrack va permettre de détecter qu'une connexion FTP est établie (au
moment où le client se connecte sur le port 21 du serveur) et ouvrir de
manière dynamique le filtrage pour cette connexion spécifique vers le port
que le client aura choisi.
On commence par tout interdire :
# iptables -A INPUT -j DROP
# iptables -I INPUT 1 -p tcp--sport 20 -m
state --state ESTABLISHED -j ACCEPT
 Exemples: Opérations la table filter

Créer les règles suivantes :

interdire tout paquet entrant
effacer la règle
#iptables -A INPUT –j DROP
#iptables -D INPUT 1
Paramètre protocole: interdire le
protocole icmp
#iptables -A INPUT -p icmp
-j DROP
Paramètre source: interdire le protocole icmp provenant de localhost
#iptables -A INPUT -p icmp -s localhost -j DROP
Chaîne OUTPUT paramètre destination: interdire tout paquet à destination
de localhost
#iptables -A OUTPUT -d localhost -j DROP
 Exemples: Opérations la table filter

paramètre inversion: interdire un paquet s'il ne provient pas de

localhost
iptables -A INPUT -s ! localhost -j DROP
paramètre interface d'entrée:
interdire tout paquet entrant par eth0
iptables -A INPUT -i eth0 -j DROP
interdire un paquet s'il provient de lo
iptables -A INPUT -i lo -j DROP
paramètre interface de sortie: interdire tout paquet sortant par eth0
iptables -A OUTPUT -o eth0 -j DROP
 Exemples: Opérations la table filter

paramètre destination port: interdire tout paquet à destination du

port ftp
iptables -A INPUT -p tcp --dport 21 -j DROP
paramètre source port: interdire tout paquet sortant par eth0 dont le
numéro de port source est inférieur à 1024
iptables -A OUTPUT -o eth0 -p tcp --
sport :1023 -j DROP iptables -A OUTPUT -o
eth0 -p udp --sport :1023 -j DROP
paramètre flag TCP: interdire toute tentative d'initialisation de
connexion TCP provenant de eth0
iptables -A INPUT -i eth0 -p tcp --syn --dport
:1023 -j DROP
 Exemples: Opérations la table filter

paramètre flag icmp: interdire tout paquet entrant

correspondant à un ping
iptables -A INPUT -p icmp --icmp-type echo-request -j DROP

interdire toute réponse à un ping

iptables -A OUTPUT -p icmp --icmp-type echo-reply -j DROP

extension mac: interdire tout paquet entrant par eth0 dont

l'adresse mac n'est pas celle du voisin
iptables -A INPUT -i eth0 -m mac --mac-source !
00:50:FC:23:2D:D7 -j DROP
 Exercice

Créer les règles suivantes :

1. Forwarder tout paquet venant de vmnet1 vers vmnet2
2. Forwarder tout paquet relatif à une connexion déjà établi ou en
rapport avec une connexion déjà établi de vmnet2 vers vmnet1
3. Autoriser tout paquet input (vmnet2) relative à une connexion déjà établi
ou en rapport avec une connexion déjà établi
4. Autoriser tout input au Firewall du réseau interne
 Solution

1. #iptables -A FORWARD -i vmnet1 -o vmnet2 -j ACCEPT

2. #iptables -A FORWARD -i vmnet2 -o vmnet1 -m state

--state ESTABLISHED,RELATED -j ACCEPT

3. #iptables -A INPUT -i vmnet2 -m state --

state ESTABLISHED,RELATED -j ACCEPT

4. #iptables -A INPUT -i vmnet1 -s 0/0 -d 0/0 -

j ACCEPT