TP4 (Firewall)

Lancez la configuration du TP4.

/net/ens/qemunet/qemunet.sh -x -s /net/ens/qemunet/demo/dmz.tgz

Voici la configuration du réseau.

                                  
                            opeth    grave 
                  INTERNET    \       /
                               \     /
                                \   /
                     -------- immortal --------
                                /   \
                         DMZ   /\    \   RX INTERNE
                              /  \    \
                            syl  dt  nile

Les IP et les tables de routage sont déjà configurées pour vous

On configurera le firewall sur la passerelle immortal.

1. Relevez sur un schéma les IP et les interfaces réseaux de toutes les machines. Vérifiez avec ping que tout le monde peut communiquer ensemble.
2. Positionnez la politique par défaut à DROP.
3. Autorisez le ping vers Internet, mais interdire l'inverse.
4. Autorisez l'accès au web aux machines du réseau interne.
5. Autorisez grave à accèder au serveur ssh (port 22) de dt. Testez.
6. Autorisez l'accès au serveur web de syl. Faites un test avec telnet ou netcat.
7. Depuis opeth, testez votre firewall avec nmap !

Voici quelques notes concernant l'utilisation d'iptables pour configurer un firewall. La configuration du firewall se base sur la table “filter” et est subdivisée en 3 chaînes (notée <CHAIN>) :

• INPUT : tout ce qui rentre dans la machine ;
• OUTPUT : tout ce qui sort dans la machine ;
• FORWARD : tout ce qui traverse la machine (i.e. lors du routage).

Pour afficher les règles de la table filter :

$ iptables -t filter -L

Pour effacer toutes les règles ajoutées :

$ iptables -t filter -F

Pour chaque règle que l'on ajoute, trois actions sont possibles (notée <ACTION>) :

• ACCEPT : on accepte ;
• REJECT : on rejette poliment (réponse d'erreur envoyé à l'émetteur) ;
• DROP : on jette à la poubelle (pas de réponse d'erreur).

Pour modifier la politique par défaut du firewall :

$ iptables -t filter -P <CHAIN> <ACTION>

Pour ajouter une nouvelle règle à une chaîne du firewall (attention à l'ordre des règles) :

$ iptables -t filter -A <CHAIN> <SRC> <DST> <...> -j <ACTION>

• avec <SRC> des indications sur la provenance des paquets IP, comme par exemple “-i eth0” ou “-s 192.168.0.0/24” ou encore “-s 0/0” ;
• avec <DST> des indications sur la destination des paquets IP, comme par exemple : “-o eth1” ou “-d 147.210.0.0/24” ;
• avec <…> des infos complémentaires par exemple sur la nature du protocole “-p icmp” ou “-p tcp”, avec éventuellement des précisions spécifiques à ces protocoles (“–dport 80” pour TCP) ou encore sur l'état “-m state –state NEW”, …

Pour plus d'info, consulter le manuel : man iptables.