Wiki Enseignement

User Tools

Site Tools

Trace:
rx:tp4

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Both sides previous revisionPrevious revision
Next revision		Previous revision
rx:tp4 [2013/02/22 12:29] gabrielrx:tp4 [2024/03/18 15:06] (current) – external edit 127.0.0.1
Line 1: Line 1:
-TP 4  +======TP4 (Firewall) ======
-=====+
  
 Lancez la configuration du TP4.  Lancez la configuration du TP4. 
  
-  $ cd /net/stockage/auesnard/UML/ +  /net/ens/qemunet/qemunet.sh -x -s /net/ens/qemunet/demo/dmz.tgz
-  $ ./launch.sh ./TP-Rx/tp4.txt ./TP-Rx/tp4.tgz +
  
 Voici la configuration du réseau. Voici la configuration du réseau.
Line 22: Line 20:
 Les IP et les tables de routage sont déjà configurées pour vous :-) Les IP et les tables de routage sont déjà configurées pour vous :-)
  
-Firewall +====Firewall====
----------+
  
 On configurera le firewall sur la passerelle immortal. On configurera le firewall sur la passerelle immortal.
  
-0. Relevez sur un schéma les IP et les interfaces réseaux de toutes les machines. Vérifiez avec ping que tout le monde peut communiquer ensemble.+  - Relevez sur un schéma les IP et les interfaces réseaux de toutes les machines. Vérifiez avec ping que tout le monde peut communiquer ensemble. 
 +  - Positionnez la politique par défaut à DROP. 
 +  - Autorisez le ping vers Internet, mais interdire l'inverse. 
 +  - Autorisez l'accès au web aux machines du réseau interne. 
 +  - Autorisez grave à accèder au serveur ssh (port 22) de dt. Testez. 
 +  - Autorisez l'accès au serveur web de syl. Faites un test avec telnet ou netcat. 
 +  - Depuis opeth, testez votre firewall avec nmap !
  
-1. Positionnez la politique par défaut à DROP. 
  
-2. Autoriser le ping vers Internet, mais interdire l'inverse.+====Memento====
  
-3. Autoriser l'accès au web aux machines du réseau interne.+Voici quelques notes concernant l'utilisation d'iptables pour configurer un firewall. La configuration du firewall se base sur la table "filter" et est subdivisée en 3 chaînes (notée <CHAIN>) :  
 +  * INPUT : tout ce qui rentre dans la machine ; 
 +  * OUTPUT : tout ce qui sort dans la machine ; 
 +  * FORWARD : tout ce qui traverse la machine (i.e. lors du routage).
  
-4. Autoriser grave à accèder au serveur ssh (port 22) de dt. Tester.+Pour afficher les règles de la table filter :  
 +  $ iptables -t filter -L
  
-5. Autoriser l'accès au serveur web de syl. Faire un test avec telnet ou netcat.+Pour effacer toutes les règles ajoutées : 
 +  $ iptables -t filter -F
  
-6. Depuis opethtester votre firewall avec nmap !+Pour chaque règle que l'on ajoutetrois actions sont possibles (notée <ACTION>) : 
 +  * ACCEPT : on accepte ; 
 +  * REJECT : on rejette poliment (réponse d'erreur envoyé à l'émetteur) ; 
 +  * DROP : on jette à la poubelle (pas de réponse d'erreur).
  
-Memento +Pour modifier la politique par défaut du firewall : 
---------+  $ iptables -t filter -P <CHAIN> <ACTION>
  
-Voici quelques notes concernant l'utilisation d'iptables pour +Pour ajouter une nouvelle règle à une chaîne du firewall (attention à l'ordre des règles) : 
-configurer un firewall. La configuration du firewall se base sur la +  $ iptables -t filter -A <CHAIN> <SRC> <DST> <...> -j <ACTION>
-table "filter" et est subdivisée en 3 chaînes (notée <CHAIN>) :  +
-  - INPUT : tout ce qui rentre dans la machine ; +
-  OUTPUT : tout ce qui sort dans la machine ; +
-  - FORWARD : tout ce qui traverse la machine (i.elors du routage).+
  
-Pour afficher les règles de la table filter :  +  * avec <SRC> des indications sur la provenance des paquets IP, comme par exemple "-i eth0" ou "-s 192.168.0.0/24" ou encore "-s 0/0" ; 
-    $ iptables -t filter -L +  avec <DST> des indications sur la destination des paquets IP, comme par exemple : "-o eth1" ou "-d 147.210.0.0/24"
- +  avec <...> des infos complémentaires par exemple sur la nature du protocole "-p icmp" ou "-p tcp", avec éventuellement des précisions spécifiques à ces protocoles ("--dport 80" pour TCP) ou encore sur l'état "-m state --state NEW", ... 
-* Pour effacer toutes les règles ajoutées : +
-    $ iptables -t filter -F +
- +
-Pour chaque règle que l'on ajoute, trois actions sont possibles (notée +
-<ACTION>) : +
-  - ACCEPT : on accepte ; +
-  - REJECT : on rejette poliment (réponse d'erreur envoyé à l'émetteur) ; +
-  - DROP : on jette à la poubelle (pas de réponse d'erreur). +
- +
-* Pour modifier la politique par défaut du firewall : +
-    $ iptables -t filter -P <CHAIN> <ACTION> +
- +
-* Pour ajouter une nouvelle règle à une chaîne du firewall (attention +
-  à l'ordre des règles) : +
-    $ iptables -t filter -A <CHAIN> <SRC> <DST> <...> -j <ACTION> +
- +
-    avec <SRC> des indications sur la provenance des paquets IP, comme +
-    par exemple "-i eth0" ou "-s 192.168.0.0/24" ou encore "-s 0/0" ; +
- +
-    avec <DST> des indications sur la destination des paquets IP, +
-    comme par exemple : "-o eth1" ou "-d 147.210.0.0/24"+
- +
-    avec <...> des infos complémentaires sur par exemple la nature du +
-    protocole "-p icmp" ou "-p tcp", avec éventuellement des +
-    precisions spécifiques à ces protocoles ("--dport 80" pour TCP) ou +
-    encore sur l'état "-m state --state NEW", ... +
  
 Pour plus d'info, consulter le manuel : man iptables. Pour plus d'info, consulter le manuel : man iptables.
  
rx/tp4.1361536146.txt.gz · Last modified: 2024/03/18 15:05 (external edit)