Mise en oeuvre de règles de filtrage à l'aide de la commande iptables.
Nous allons créer des règles de filtrage en utilisant la commande iptables. Pour cela vous devez être connecté en tant que super utilisateur. Vous allez donc rebooter la machine et choisir au boot l'entrée TP linux.
Vous y étes ...., bien, vous allez dans un premier temps vous familiariser avec la commande iptables.
Question : Lister les règles actives de la machine.
Soit le fichier rc.test-iptables.txt qui contient un certain nombre de règles. Vous allez configurer votre machine pour qu'elle utilise les règles qui sont contenues dans le fichier (il faut exécuter le script). On constate le résultat de l'ajout de ces règles dans le fichier /var/log/messages.
Question : Après avoir fait un ping sur votre machine à partir d'une autre machine (ssh), expliquer la trace engendrée dans le fichier /var/log/messages.
Vous pouvez constater que par défaut aucun message n'est filtré. Vous allez interdire l'écoute trop fréquente des ports de votre machine. Pour cela vous devez créer une chaîne de règles analyse-port. Ensuite vous allez ajouter les règles qui supprimeront les tentatives de connexions trop fréquentes (on autorisera 1 demande par seconde), au-delà vos règles de filtrage supprimeront les messages.
Question : Donner les commandes qui vont permettre de réinitialiser les règles de filtrage de votre machine. Placer ces règles dans un fichier script (vous aurez peut-être à le réutiliser).
Question : Ecrire les règles puis tester votre configuration à l'aide de la commande nmap. Voici un exemple d'utilisation de la commande nmap.
nmap <adresse ip de votre station>
Nous allons maintenant traiter les paquets du protocole icmp. Pour cela vous allez créer les chaînes de règles icmp-in et icmp-out. Ensuite vous allez rediriger les paquets dans la bonne chaîne de règles.
Puis vous allez ajouter les règles qui vont autoriser les paquets (cela signifie qu'ils ne sont pas détruit ici, ils pourront l'être dans d'autres règles) icmp de type 0,3,4,11,12,14,16,18 en entrée et de type 4,8,12,13,15,17 en sortie à l'aide de l'option --icmp-type n, où n est un type de message icmp. Vous ajouterez les règles qui vont vous permettre de supprimer les paquets autres que ceux autorisés.
Question : Ecrire les règles.
Afin d'éviter de devoir taper les règles de filtrage à chaque fois que l'on reboote la machine, il existe une commande pour sauvegarder les règles(iptables-save) et une commande pour restaurer les règles (iptables-restore).
Question : Sauvegarder les règles que vous avez écrites dans un fichier, puis effacer toutes les règles , enfin restaurer les règles sauvegardées.
Question : Ecrire les règles qui vont interdire aux machines ayant une adresse du type 172.17.x.y de se connecter sur votre machine (machines du réseau enseigants).
Question : Ecrire les règles qui vont permettre le dialogue de votre machine avec le serveur DNS de l'université (193.49.62.9) et du serveur secondaire (193.49.62.13)
Question : Ecrire les règles qui vont permettre une connexion ssh par votre machine sur une machine quelconque du réseau, tout en inderdisant aux autres machines de se connecter sur votre machine sauf la machine de votre voisin dans la salle de TP.
Question : Ecrire les règles qui vont permettre une connexion www par votre machine sur une machine quelconque du réseau, tout en inderdisant aux autres machines de se connecter sur votre machine.
Question : Ecrire les règles qui vont permettre une connexion ftp par votre machine sur une machine quelconque du réseau.
Question : Ecrire les règles qui vont rediriger le trafic à destination du port 389(ldap) de votre machine vers le port 4000.
Question : Ecrire les règles qui vont tracer et interdire les messages utilisant le protocole UDP (autres que ceux ayant été autorisé avant).
Question : Même chose pour les protocole TCP et ICMP.
Question : Ecrire la règle qui va modifier l'adresse source des paquets (192.168.1.XXX avec XXX le dernier octet de votre adresse actuelle) qui sortent de votre machine.
Imaginons que votre serveur Web de votre machine écoute sur le port 8080
Question : Ecrire la règle qui va rediriger le trafic destiné au port 80 vers le port 8080.
L'application fwbuilder propose une interface graphique qui facilite l'écriture de règles de filtrage. Ces règles sont le fruit de l'assemblage d'objets qui aura fallu créer auparavant.
L'image suivante nous montre une liste de règles en cours
d'élaboration.
Quand les règles semblent valides, Une phase de compilation permet de générer le code en fonction des choix effectués dans la phase de configuration du projet en cours.