La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

TP sur le filtrage avec iptables

Publié parAdeline Forestier Modifié depuis plus de 10 années

Présentations similaires

Présentation au sujet: "TP sur le filtrage avec iptables"— Transcription de la présentation:

1 TP sur le filtrage avec iptables

2 Objectifs Mettre en oeuvre un ensemble de règles
de filtrage sous iptables Comprendre la syntaxe iptables Organiser l’ordre des règles

3 Réalisation du script Mettre la politique de filtrage à DROP pour toute la table filter iptables -t filter -P INPUT DROP -t filter -P INPUT DROP iptables -t filter -P OUTPUT DROP Ici, on ne crée pas une simple règle, mais on ajoute une “politique” par défaut pour la chaîne INPUT (INPUT= le trafic à destination du firewall) En réalité, cela revient à ajouter une règle qui DROP tous les paquets après toutes les autres règles. iptables -t filter -P FORWARD DROP On indique que la règle sera ajoutée dans la table filter, mais on peut l'omettre étant donné que la table filter est choisie par défaut Et on fait pareil pour les chaines OUTPUT et FORWARD

4 Réalisation du script (2)
Autoriser tous les flux en sortie de votre machine Deux façons de faire: 1- iptables -t filter -P OUTPUT ACCEPT = On change la politique par défaut pour OUTPUT Ou 2- iptables -A OUTPUT -j ACCEPT = On laisse tous les flux sortir en OUTPUT Exercice: Y a-t-il une différence entre les deux ? et si oui laquelle ?

5 MAIS !!!!! Il faut aussi accepter les paquets de réponse à
nos requêtes, sinon les connexions ne pourront pas être établies -m state --state ESTABLISHED,RELATED iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT On accepte en INPUT les paquets appartenant à une connexion établie (ceux qui ont été autorisés en OUTPUT)

6 Réalisation du script (3)
Autoriser les flux web et DNS vers votre machine iptables -A INPUT -m state --state NEW -p tcp -- dport 80 iptables -A INPUT -m state --state NEW -p tcp --dport 80 --syn -j ACCEPT --syn iptables -A INPUT -m state --state NEW -p udp -- dport 53 -j ACCEPT On fait pareil pour le DNS, sans le --syn étant donné qu’il n’y a pas de flags en UDP On vérifie aussi que seul le flag SYN est positionné (pour éviter les scans bizarres) On autorise les flux entrants pour les nouvelles connexions tcp sur le port 80

7 Réalisation du script (4)
Créer une chaine qui log et qui drop les paquets iptables -N log_n_drop iptables -A log_n_drop -j LOG --log-prefix '[paquet rejeté] : ' iptables -A log_n_drop -j DROP On créé la chaîne log_n_drop Et on y créé deux règles, une pour logger et une pour filtrer

8 ATTENTION !!! Cette nouvelle chaîne créée ne sert a rien tant
qu’elle n’est pas appelée depuis une autre règle avec l’action “-j log_n_drop” Pour l’instant la chaîne est créée mais pas utilisée. Comme si vous créiez une fonction en C mais que vous ne l’appeliez jamais.

9 Réalisation du script (5)
Au lieu de droper dans le script, appelez la chaîne log_n_drop Nous n’avons aucune règle de DROP pour l’instant vu que nous dropons avec la politique par défaut. Si nous avions des règles finissant par “-j DROP” nous pourrions les remplacer par “-j log_n_drop”

10 Réalisation du script (6)
Créer une chaîne qui interdit l’usage des adresses RFC 1918 et qui log iptables -N RFC iptables -A RFC -s /8 -j log_n_drop iptables -A RFC -s /16 -j log_n_drop iptables -A RFC -s /12 -j log_n_drop On créé la chaîne Et les règles pour chaque plage d’adresse

11 ATTENTION !!! Comme pour log_n_drop, cette nouvelle chaîne
créée ne sert a rien tant qu’elle n’est pas appelée depuis une autre règle avec l’action “-j RFC” Pour l’instant la chaîne est créée mais pas utilisée.

12 Réalisation du script (6)
Créer une règle qui redirige dans la chaine RFC si le paquet vient sur l’interface externe. iptables -A INPUT -i eth0 -j RFC Ainsi tout paquet venant de l’extérieur (interface eth0) avec une adresse anormale pour Internet (RFC1918) se verra rejeté.

13 Réalisation du script (7)
Faire une règle qui nat toutes les requêtes venant de l’interne -j MASQUERADE iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE -t nat -A POSTROUTING On spécifie que l’on veut écrire dans la table nat, et non plus filter On veut nater sur l’interface externe, donc après le routage. On met en place de la nat dynamique avec la cible MASQUERADE qui transforme automatiquement l’adresse source du paquet en l’adresse de l’interface externe eth0.

14 Script complet #!/bin/bash iptables -X iptables -F
iptables -N log_n_drop iptables -A log_n_drop -j LOG --log-prefix '[paquet rejeté] : ' iptables -A log_n_drop -j DROP iptables -N RFC iptables -A RFC -s /8 -j log_n_drop iptables -A RFC -s /16 -j log_n_drop iptables -A RFC -s /12 -j log_n_drop iptables -t filter -P INPUT DROP iptables -t filter -P OUTPUT ACCEPT iptables -t filter -P FORWARD DROP iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -i eth0 -j RFC iptables -A INPUT -m state --state NEW -p tcp --dport 80 --syn -j ACCEPT iptables -A INPUT -m state --state NEW -p udp --dport 53 -j ACCEPT iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

15 L’ordre des règles ? L’ordre des règles est-il important ?
Oui, extrêmement. Pour deux raisons: 1- Etant donné que les règles sont parcourues une à une dans l’ordre d’écriture, il est important de vérifier qu’une règle ne “surpasse” pas une autre, par exemple 2- Vu que les règles sont passées en revue une à une dans l’ordre et qu’on s’arrête dès qu’une règle correspond, il est important de mettre en premier les règles les plus utilisées, comme ESTABLISHED et RELATED qui concerneront la majorité des paquets. iptables -A INPUT -p tcp -j ACCEPT iptables -A INPUT -p tcp --dport 80 -j DROP Ici la seconde règle ne sera jamais utilisée car la première correspondra à tout le traffic TCP et donc notamment au port 80 TCP.

Télécharger ppt "TP sur le filtrage avec iptables"

Présentations similaires

Module Architectures et Administration des réseaux

Module Architectures et Administration des réseaux
TD (issu de l’Exonet 23 – Site du CERTA)

TD (issu de l’Exonet 23 – Site du CERTA)
Liste de contrôle d’accès

Liste de contrôle d’accès
Routage Statique AfNOG 2003 PLAN Quest ce que le routage ? Pourquoi faire du routage sur un réseau ? PRINCIPES DU ROUTAGE IP PROTOCOLES DE ROUTAGE IP Définition.

Routage Statique AfNOG 2003 PLAN Quest ce que le routage ? Pourquoi faire du routage sur un réseau ? PRINCIPES DU ROUTAGE IP PROTOCOLES DE ROUTAGE IP Définition.
M2: Les parefeux Université Paris II & LRI Michel de Rougemont 1.Quest ce quun parefeu ? 2.Architecture des parefeux.

M2: Les parefeux Université Paris II & LRI Michel de Rougemont 1.Quest ce quun parefeu ? 2.Architecture des parefeux.
Le mode transport IPSec face à netfilter un autre cheval de Troie? Yoann ALLAIN Stagiaire au Security Lab Encadrants : Olivier Courtay et Nicolas Prigent.

Le mode transport IPSec face à netfilter un autre cheval de Troie? Yoann ALLAIN Stagiaire au Security Lab Encadrants : Olivier Courtay et Nicolas Prigent.
– NAT et PAT.

– NAT et PAT.
Firewall sous Linux Netfilter / iptables.

Firewall sous Linux Netfilter / iptables.
interface graphique permettant de faciliter la conception de topologies réseaux complexes Logiciel permettant de créer des machines virtuelles sur une.

interface graphique permettant de faciliter la conception de topologies réseaux complexes Logiciel permettant de créer des machines virtuelles sur une.
DUDIN Aymeric MARINO Andrès

DUDIN Aymeric MARINO Andrès
Vue d'ensemble Présentation multimédia : Rôle du routage dans l'infrastructure réseau Activation et configuration du service Routage et accès distant Configuration.

Vue d'ensemble Présentation multimédia : Rôle du routage dans l'infrastructure réseau Activation et configuration du service Routage et accès distant Configuration.
Firewalling et NAT sous LINUX

Firewalling et NAT sous LINUX
Cours Présenté par …………..

Cours Présenté par …………..
PARcours Individualisé de Formation (PAR.I.F.) présentation de la messagerie ICASSO.

PARcours Individualisé de Formation (PAR.I.F.) présentation de la messagerie ICASSO.
TP de mise en oeuvre d’une PKI avec Openssl

TP de mise en oeuvre d’une PKI avec Openssl
Introduction à RRDTool

Introduction à RRDTool
Cours n°1 Présenté par : Aurélien Baillard Aboubacar Camara Sébastien Simon Jeremy Landre Brown Ebiémi.

Cours n°1 Présenté par : Aurélien Baillard Aboubacar Camara Sébastien Simon Jeremy Landre Brown Ebiémi.
Projet Combien? Ma première machine : la machine Construction Ensemble G. Tisseau, J. Duma, H. Giroire, F. Le Calvez, M. Urtasun.

Projet Combien? Ma première machine : la machine Construction Ensemble G. Tisseau, J. Duma, H. Giroire, F. Le Calvez, M. Urtasun.
Représentation: Couche 7: Application Couche 6: Présentation Couche 5: Session Couche 4: Transport Couche 3: Réseau Couche 2: Liaison de données Couche.

Représentation: Couche 7: Application Couche 6: Présentation Couche 5: Session Couche 4: Transport Couche 3: Réseau Couche 2: Liaison de données Couche.
Windows XP Professionnel

Windows XP Professionnel

Présentations similaires

Annonces Google