TP 2 Pare-feu Linux
Transcription
TP 2 Pare-feu Linux
TP 2 Pare-feu Linux Réseaux et Télécoms – IUT d'Auxerre – Université de Bourgogne Exercice 1 : Configuration du réseau Initialisez le matériel et câblez le schéma réseau ci-dessous. Internet LAN – VLAN 50 10.0.50.0 / 24 eth0 dhcp .10 PC1 eth1 F1 HTTP .1 eth0 F2 F12 Trunk eth1 .254 Parefeu DMZ – VLAN 51 10.0.51.0 / 24 Configurez les différents éléments du réseau, validez son fonctionnement global. Remarques : • Le pare-feu sera le premier ordinateur sous Linux • La liaison physique entre le commutateur et le pare-feu sera configurée en mode Trunk (agrégation de VLAN 802.1Q) • Le PC1 sera le second ordinateur sous Linux (configuré sur eth1) • Le serveur HTTP sera une machine virtuelle DebianServer hébergée sur le PC1 (configuré sur eth0 physique et virtuelle) Configuration : • Commutateur : VLAN, Trunk • Pare-feu : VLAN, adresses IP(eth1.50, eth1.51), NAT, Transfert de port • PC1 : Adresse IP eth1 (physique), passerelle par défaut • HTTP : Adresse IP eth0 (virtuelle), passerelle par défaut, service HTTP 1 Exercice 2 : Configuration du pare-feu a) Créez un script shell pour la configuration du pare-feu appelé firewall.sh, et rendez le ficher exécutable (chmod +x firewall.sh). b) Écrivez les commandes d'initialisation du pare-feu dans le script de configuration. Exécutez le script, et affichez les règles de filtrage du pare-feu. c) Configurez la politique par défaut du pare-feu pour refuser tout trafic. Ensuite affichez les règles de filtrage du pare-feu. d) Validez le fonctionnement du pare-feu en essayant différents types de trafic entre les réseaux. e) Configurez le pare-feu pour autoriser les messages ICMP à destination et en provenance du pare-feu. Ensuite affichez les règles de filtrage du pare-feu, et validez le fonctionnement avec des requêtes ping. f) Configurez le pare-feu pour autorisez les connexions SSH en provenance du PC1 et à destination du pare-feu. Ensuite affichez les règles de filtrage du pare-feu, et valider le fonctionnement sur le PC1. g) Configurez le pare-feu pour autoriser le LAN à naviguer sur le Web (HTTP, HTTPS, Proxy HTTP, DNS). Ensuite affichez les règles de filtrage du pare-feu, et valider le fonctionnement sur le PC1. h) Configurez le pare-feu pour autorisez les connexions HTTP à destination du ser veur de la DMZ. Ensuite affichez les règles de filtrage du pare-feu, et valider le fonctionnement sur le PC1 et sur Internet. i) Configurez le pare-feu pour autorisez les connexions SSH en provenance du PC1 et à destination du serveur de la DMZ. Ensuite affichez les règles de filtrage du pare-feu, et valider le fonctionnement sur le PC1. 2 Annexe Réseaux et Télécoms – IUT d'Auxerre – Université de Bourgogne Configuration des VLAN • Création de l'interface VLAN ip link add link interface_physique name interface_physique.numéro_vlan type vlan id numéro_vlan • Activation de l'interface VLAN ip link set dev interface_physique.numéro_vlan up • Configuration de l'adresse IP de l'interface VLAN ip addr add adresse/masque dev interface_physique.numéro_vlan • Configuration de la passerelle par défaut ip route add default via adresse_passerelle dev interface Configuration du routage / NAPT • Activation du routage sysctl -w net.ipv4.ip_forward=1 • Configuration du NAPT iptables -t nat -A POSTROUTING -o interface_public -j MASQUERADE • Configuration du transfert de port iptables -t nat -A PREROUTING -i interface_public -p protocole --dport port -j DNAT --to adresse_privée 3 Configuration du pare-feu • Initialisation # Efface les règles de filtrage iptables -F # Efface les règles de filtrage personnalisées iptables -X # Initialise les compteurs de paquets iptables -Z • Politique de filtrage par défaut iptables -P {INPUT | OUTPUT | FORWARD} {ACCEPT | DROP} • Règle de filtrage iptables -A {INPUT | OUTPUT | FORWARD} [-p protocole] [-i interface_entrée] [-o interface_sortie] [-s adresse_source] [-d adresse_destination] [--sport port_source] [--dport port_destination] [-m multiport --sports port_min-port_max,port1,port2] --dports port_min-port_max,port1,port2] [-m conntrack --ctstate NEW | ESTABLISHED] [--icmp-type echo-request | echo-reply] -j {ACCEPT | DROP} • Diagnostique # Affiche les règles de filtrage iptables -L # Affiche les règles de filtrage en détails iptables -L -v # Affiche les règles de filtrage en détails sans la résolution des noms iptables -L -v -n 4