Escolar Documentos
Profissional Documentos
Cultura Documentos
1
TUDE DUN FIREWALL
OBJECTIFS
Comprendre le fonctionnement dun firewall et dune DMZ ;
tudier les rgles de filtrage et de translation entre rseaux prives et public.
PR-REQUIS
Systme dexploitation Linux, commandes de base.
Protocoles TCP/IP.
Principes de base du filtrage et de la translation dadresse et de port.
CONTEXTE
Vous devez disposer dun PC possdant une distribution Linux (sur une partition
spcifique, sur une cl USB bootable ou encore laide dun logiciel de virtualisa-
tion du type VMware ou VirtualBox). Le logiciel wireshark doit tre install sur
votre systme, le logiciel de virtualisation Netkit doit tre install sur la machine
Linux.
web plac sur une zone neutre de type DMZ. Les adresses du rseau priv et du
serveur web seront masques. Le firewall utilis fonctionne sous Linux avec les
rgles de filtrage iptables.
Pour simplifier, le rseau local priv est reprsent par la machine LAN.
Lextrieur est reprsent par la machine INTERNET et le serveur web par la ma-
chine DMZ. L'accs entre les diffrentes machines est gr par le FIREWALL. Le
schma suivant prsente l'architecture du rseau avec le plan d'adressage :
LAN ROUTEUR/
INTERNET
FIREWALL
eth1
192.168.20.1/24
192.168.20.2/24 eth0
DMZ
Attribuez aux machines les adresses IP suivant votre plan dadressage avec les
masques adquats (commande ifconfig). Dans la table de routage de chaque ma-
chine, rajoutez les lignes ncessaires (commande route add).
Vrifiez l'aide de la commande ping sur les que vous pouvez accder de
nimporte quelle machine toutes les autres machines.
Vrifiez sur la machine DMZ que le serveur web est oprationnel (commande
/etc/init.d/apache2 restart).
partir de la machine LAN, ouvrez un navigateur (ventuellement lynx en mode
console) et connectez-vous au serveur web pour vrifier son fonctionnement.
Exemples
Cette commande accepte les flux en entre de l'interface eth0 pour un flux venant du r-
seau IP source 192.168.10.0 avec le masque 255.255.255.0 (24 bits "1") vers le rseau
destination 192.168.20.0 et le port 80 pour le protocole TCP.
Ralisez une configuration par dfaut du firewall qui rejette tout flux dans les
chanes INPUT, OUTPUT et FORWARD (commande iptables -P). Vous pou-
vez utiliser un fichier script pour viter davoir saisir plusieurs fois les com-
mandes.
Vrifiez maintenant laide de pings que les trois machines (LAN ,INTERNET
et DMZ) ne peuvent plus communiquer.
Quelle chane devez vous modifier pour pouvoir pinger la DMZ partir du
LAN ? Effectuez la modification et testez.
e) Translation dadresse
Le but de cette partie est de raliser une translation pour toutes les adresses venant
du LAN et allant vers la DMZ.
Dans le programme iptables, la table nat est utilise pour les translations
dadresses. Comme pour le filtrage, cette table utilise trois chanes :
PREROUTING pour faire du DNAT (Destination NAT), la translation est rali-
se sur ladresse de destination avant le processus de routage. Exemple : pour un
paquet entrant vers un serveur web interne et masqu, le routeur va remplacer sa
propre adresse IP par ladresse du serveur web.
POSTROUTING utilise la sortie du routeur pour faire du SNAT (Source
NAT), l'adresse source est masque aprs le processus de routage. Exemple : un
ordinateur local veut sortir sur Internet, le routeur va remplacer l'adresse IP du
paquet mis en local par sa propre adresse.
OUTPUT pour les paquets qui sont gnrs localement et qui sortent dune in-
terface.
Pour les deux premires chanes, le traitement permettant de faire du masquage
est not MASQUERADE.
Exemple
Cette commande ajoute une rgle dans la table de translation dadresses nat du
routeur qui opre aprs la dcision de routage (postrouting) et qui masque (mas-
querade) le trafic provenant du rseau 10.2.0.0 et destination du rseau 10.3.0.0.
Ce dernier voit le trafic sortant de linterface eth2 comme provenant uniquement du
routeur.
Ajoutez une rgle sur le firewall permettant de faire de la translation d'adresse
entre le PC LAN et la DMZ. Donnez la rgle ajoute et justifiez les options
choisies (chane utilise, prerouting ou post routing, politique masquerade).
Excutez votre script.
Sur DMZ, excutez la commande tcpdump i eth1 pour raliser une capture de
trames. Sur LAN, tapez la commande ping 192.168.20.2 .
Donnez la squence des trames obtenue sur DMZ avant et aprs la mise en place
de la translation. Interprtez les rsultats obtenus.
TP 8.1 Page 5 sur 6
TP- Le rseau Internet, des services aux infrastructures