TP 2 Pare-feu Linux

TP 2
Pare-feu Linux
Réseaux et Télécoms – IUT d'Auxerre – Université de Bourgogne
Exercice 1 : Configuration du réseau
Initialisez le matériel et câblez le schéma réseau ci-dessous.
Internet
LAN – VLAN 50
10.0.50.0 / 24
eth0
dhcp
.10
PC1
eth1
F1
HTTP .1
eth0
F2
F12
Trunk
eth1
.254
Parefeu
DMZ – VLAN 51
10.0.51.0 / 24
Configurez les différents éléments du réseau, validez son fonctionnement global.
Remarques :
•
Le pare-feu sera le premier ordinateur sous Linux
•
La liaison physique entre le commutateur et le pare-feu sera configurée en
mode Trunk (agrégation de VLAN 802.1Q)
•
Le PC1 sera le second ordinateur sous Linux (configuré sur eth1)
•
Le serveur HTTP sera une machine virtuelle DebianServer hébergée sur le
PC1 (configuré sur eth0 physique et virtuelle)
Configuration :
•
Commutateur : VLAN, Trunk
•
Pare-feu : VLAN, adresses IP(eth1.50, eth1.51), NAT, Transfert de port
•
PC1 : Adresse IP eth1 (physique), passerelle par défaut
•
HTTP : Adresse IP eth0 (virtuelle), passerelle par défaut, service HTTP
1
Exercice 2 : Configuration du pare-feu
a) Créez un script shell pour la configuration du pare-feu appelé firewall.sh, et
rendez le ficher exécutable (chmod +x firewall.sh).
b) Écrivez les commandes d'initialisation du pare-feu dans le script de configuration.
Exécutez le script, et affichez les règles de filtrage du pare-feu.
c) Configurez la politique par défaut du pare-feu pour refuser tout trafic. Ensuite affichez les règles de filtrage du pare-feu.
d) Validez le fonctionnement du pare-feu en essayant différents types de trafic entre
les réseaux.
e) Configurez le pare-feu pour autoriser les messages ICMP à destination et en provenance du pare-feu. Ensuite affichez les règles de filtrage du pare-feu, et validez
le fonctionnement avec des requêtes ping.
f) Configurez le pare-feu pour autorisez les connexions SSH en provenance du PC1
et à destination du pare-feu. Ensuite affichez les règles de filtrage du pare-feu, et
valider le fonctionnement sur le PC1.
g) Configurez le pare-feu pour autoriser le LAN à naviguer sur le Web (HTTP,
HTTPS, Proxy HTTP, DNS). Ensuite affichez les règles de filtrage du pare-feu, et
valider le fonctionnement sur le PC1.
h) Configurez le pare-feu pour autorisez les connexions HTTP à destination du ser veur de la DMZ. Ensuite affichez les règles de filtrage du pare-feu, et valider le
fonctionnement sur le PC1 et sur Internet.
i) Configurez le pare-feu pour autorisez les connexions SSH en provenance du PC1
et à destination du serveur de la DMZ. Ensuite affichez les règles de filtrage du
pare-feu, et valider le fonctionnement sur le PC1.
2
Annexe
Réseaux et Télécoms – IUT d'Auxerre – Université de Bourgogne
Configuration des VLAN
• Création de l'interface VLAN
ip link add link interface_physique name interface_physique.numéro_vlan type vlan id numéro_vlan
• Activation de l'interface VLAN
ip link set dev interface_physique.numéro_vlan up
• Configuration de l'adresse IP de l'interface VLAN
ip addr add adresse/masque dev interface_physique.numéro_vlan
• Configuration de la passerelle par défaut
ip route add default via adresse_passerelle dev interface
Configuration du routage / NAPT
• Activation du routage
sysctl -w net.ipv4.ip_forward=1
• Configuration du NAPT
iptables -t nat -A POSTROUTING -o interface_public -j
MASQUERADE
• Configuration du transfert de port
iptables -t nat -A PREROUTING -i interface_public -p
protocole --dport port -j DNAT --to adresse_privée
3
Configuration du pare-feu
• Initialisation
# Efface les règles de filtrage
iptables -F
# Efface les règles de filtrage personnalisées
iptables -X
# Initialise les compteurs de paquets
iptables -Z
• Politique de filtrage par défaut
iptables -P {INPUT | OUTPUT | FORWARD} {ACCEPT | DROP}
• Règle de filtrage
iptables -A {INPUT | OUTPUT | FORWARD} [-p protocole]
[-i interface_entrée] [-o interface_sortie]
[-s adresse_source] [-d adresse_destination]
[--sport port_source] [--dport port_destination]
[-m multiport --sports port_min-port_max,port1,port2]
--dports port_min-port_max,port1,port2]
[-m conntrack --ctstate NEW | ESTABLISHED]
[--icmp-type echo-request | echo-reply]
-j {ACCEPT | DROP}
• Diagnostique
# Affiche les règles de filtrage
iptables -L
# Affiche les règles de filtrage en détails
iptables -L -v
# Affiche les règles de filtrage en détails sans la résolution des noms
iptables -L -v -n
4