filtrage de pa filtrage de paquets
Transcription
filtrage de pa filtrage de paquets
Impossible d'afficher l'image. Votre ordinateur manque peut-être de mémoire pour ouv rir l'image ou l'image est endommagée. Redémarrez l'ordinateur, puis ouv rez à nouv eau le fichier. Si le x rouge est toujours affiché, v ous dev rez peut-être supprimer l'image av ant de la réinsérer. TD RESEAUX SRC Semestre 4 FILTRAGE DE PAQUETS OPTIONS DE LA COMMANDE IPTABLES : OPTION RÔLE -L chaine Affiche toutes les règles de la chaine spécifiée - nL pour afficher les valeurs en numérique. numérique -F chaine Supprime toutes les règles de la chaine spécifiée Si aucune chaine n'est précisée, toutes les chaines de la table sont vidées Crée une nouvelle chaine utilisateur -N Nom chaine -X Nom chaine Supprime la chaine utilisateur. Si aucun nom n'est précisé, toutes les chaines utilisateurs sont supprimées su -P chaine cible Modifie la cible par défaut de la chaine -A chaine règle Ajoute une règle à la fin de la chaine -I chaine N°Place règle Insère une règle avant celle indiquée. La place de cette règle est indiquée par un n°. Si aucun n° de place n'est précisé, la nouvelle règle est insérée au début de la chaine. -D chaine N°Place [ou règle] Supprime une règle de la chaine. On peut préciser le n° de place de la règle dans la chaine, soit sa définition nition (tests de concordance et cible) Remplace une règle de la place précisée par une autre - R chaine N° Place règle LISTE abrégée DES TESTS DE CONCORDANCE : La négation peut être précisée par le point d'exclamation ! mis avant l'argument. Test Adresse IP Source Adresse IP Destination Interface d'entrée Interface de sortie Protocole Option Complète --source @IP --destination @IP --in-interface Interface --out-interface Interface --protocol Proto Option Abrégé -s @IP -d @IP -i Interface -o Interface -p Proto Valeurs @IP = IP en Décimal @IP = IP en Décimal Interface = eth0, ppp0, … Interface = eth0, ppp0, … Proto = udp, tcp, icmp ou all Port source --source-port Port --sport Port Port destination --destination-port Port --dport Port Etat du paquet --state Etat Port rt = N° de port ou Nom du service associé 25:110 teste tous les ports de 25 à 110 -m muliport -sport 53,80 teste les ports 53 et 80 Port rt = N° de port ou Nom du service associé 25:110 teste tous les ports de 25 à 110 -m muliport -sport 53,80 teste les ports 53 et 80 Etat = NEW, ETABLISHED, RELATED ou INVALID QUELQUES PARAMETRES DE CIBLE : Les cibles sont précisées en fin de commande par l'option : --jump (ou –j) Paramètre --log-prefix ChaineCaractères Cible LOG --reject-with TypeMessage REJECT Description Préfixe de la ligne dans le journal (log). La chaine doit faire moins de 30 caractères et sera ajoutée devant chaque ligne insérées dans les fichiers de logs. Indique quel type de message est envoyé vers la machine dont le paquet est rejeté. Exemples Exemple : icmp-net--unreachable (Réseau inaccessible) icmp-host host-unreachable (Machine inacessible) icmp-port port-unreachable (Port inacessible) icmp-proto proto-unreachable (Protocole inacessible) icmp-net--prohibited (Réseau Interdit) icmp-host host-prohibited (Machine Interdite) tcp-reset (Envoie d'un paquet avec le flag RST pour fermer la connexion) EXERCICE 1 : QUE FONT LES COMMANDES (ET REGLES) SUIVANTES ? : 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. 13. 14. 15. 16. 17. 18. 19. 20. iptables iptables iptables iptables iptables iptables iptables iptables iptables iptables iptables iptables iptables iptables iptables iptables iptables iptables iptables iptables –t –t –D –R –A –A –N –t –A –I –F –X –A –A –A –t –t –t –I –t nat –nL filter –A OUTPUT –p tcp –-dport 80 –j ACCEPT INPUT 2 OUTPUT 2 –s !192.168.0.0 --jump DROP INPUT –s 192.168.1.1 –j REJECT FORWARD –j SUIVANT SUIVANT nat –A POSTROUTING –j MASQUERADE INPUT –m state --state NEW –j ACCEPT INPUT 5 –i eth0 –j INTERNE INTERNE INTERNE SUIVANT –d 0.0.0.0 –j LOG --log-prefix "ROUTE:" FORWARD –s 192.168.40.0/24 –j ACCEPT INPUT -s 127.0.0.1 -p icmp –j DROP filter –P INPUT DROP mangle –A OUTPUT –p icmp –o eth0 –j TTL –-ttl-set 32 filter –A INPUT –state –-state ETABLISHED –j LOG INPUT –i –s 192.168.1.3 –j DROP mangle –A PREROUTING –p tcp –-sport 22 –j MARK –set-mark 2 EXERCICE 2 : ECRIVEZ LES COMMANDES PERMETTANT DE CONFIGURER LA TABLE FILTER COMME suit : # iptables –L Chain INPUT (policy ACCEPT) target prot opt ACCEPT udp -ACCEPT tcp -POUBELLE all source 0.0.0.0 0.0.0.0 0.0.0.0 destination 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0 udp spt:53 tcp spt:80 Chain FORWARD (policy ACCEPT) target prot opt source REJECT icmp -0.0.0.0 destination 192.168.0.0/24 Chain OUTPUT (policy ACCEPT) target prot opt source ACCEPT udp -172.16.0.0/16 ACCEPT tcp -172.16.0.0/16 JOURNAL all -172.16.0.0/16 destination 0.0.0.0/0 0.0.0.0/0 0.0.0.0/0 udp dpt:53 tcp dpt:80 Chain JOURNAL (1 references) target prot opt source LOG all -0.0.0.0/0 DROP all -0.0.0.0/0 destination 0.0.0.0/0 0.0.0.0/0 LOG flags 0 level 4 prefix 'NOWEB' Chain POUBELLE (1 references) target prot opt source destination DROP all -0.0.0.0 0.0.0.0/0 EXERCICE 3 : EN VOUS SERVANT DU SCHEMA RESEAU CI-DESSOUS, CI DESSOUS, CONFIGUREZ LE FIREWALL POUR : • • • Que le poste XP puisse dialoguer avec les le serveurs WEB sur Internet Que les postes XP et SEVEN puisse sent s'envoyer et recevoir des mails en se servant du serveur MAIL Que le poste SEVEN puisse interroger le serveur WEB du réseau 128.0.0.0 SCHEMA DU RESEAU :