La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Firewall sous Linux Netfilter / iptables. Introduction Le sous système de traitement de paquets réseau linux sappelle Netfilter La commande employée pour.

Présentations similaires


Présentation au sujet: "Firewall sous Linux Netfilter / iptables. Introduction Le sous système de traitement de paquets réseau linux sappelle Netfilter La commande employée pour."— Transcription de la présentation:

1 Firewall sous Linux Netfilter / iptables

2 Introduction Le sous système de traitement de paquets réseau linux sappelle Netfilter La commande employée pour le configurer est Iptables

3 Intérêts Filtrage de paquets Traduction,Translation dadresse réseau Modification de paquets Les commandes iptables opèrent au niveau de la couche osi 3 (couche réseau)

4 Exemple de commande # iptables –t filter –A INPUT –i eth1 -j DROP # iptables –t filter –A INPUT –i eth1 -j DROP -t filter = table filter -A INPUT = ajoute au « point dentrée »Input -i eth1 = interface (carte réseau)eth1 -j DROP = -j (jump) que fait-on du paquet DROP (elimine) En clair : on interdit tout entrée sur eth1

5 Les points dentrées Pré-routage PREROUTING Entrée INPUT Transfert FORWARD Post-routage POSTROUTING Sortie OUTPUT

6 Flux des paquets Points dentrées du NAT

7 Flux des paquets Points dentrées pour le filtrage

8 Flux des paquets Points dentrées pour lamputation (mangle)

9 Les points dentrées FORWARD (transfert) Permet le traitement des paquets qui arrivent vers une passerelle, arrivant vers lune des interfaces et ressortant immédiatement par une autre.

10 Les points dentrées INPUT (entrée) Permet le traitement des paquets immédiatement avant quils ne soient délivrés au processus local.

11 Les points dentrées OUPUT (sortie) Permet le traitement des paquets immédiatement après leur génération par un processus local.

12 Les points dentrées Postrouting (post-routage) Permet le traitement des paquets immédiatement juste avant quils ne quittent linterface réseau.

13 Les points dentrées Prerouting (pré-routage) Permet le traitement des paquets immédiatement après leur traitement par linterface réseau.( vérification de leur somme de contrôle et suppression des paquets non autorisés en raison de lactivation du mode promiscuous de linterface réseau )

14 Les Tables Iptables intègre trois tables par défaut NAT Utilisée en conjonction avec le suivi de connexion pour rediriger les connexions pour la traduction dadresses réseau. Utilise les points dentrée (chaînes) Output, Postrouting et prerouting

15 Les Tables Filter Utilisée pour configurer les politiques de sécurité relatives au trafic autorisé à entrer, sortir ou transiter par le PC Iptables utilisera cette table par défaut si aucune autre nest explicitement désignée. Utilise les points dentrée (chaînes) Forward, Input et Output.

16 Les Tables mangle Utilisée pour modifier les paquets comme la suppression de certaines option IP. Utilise les points dentrée (chaînes) Forward,Input,Output, Postrouting et prerouting

17 Actions possibles sur les paquets Ces actions également appelés cibles ACCEPT Autoriser le paquet à passer à létape suivante du traitement.

18 Actions possibles sur les paquets Ces actions également appelés cibles DROP Arrêter complètement le traitement du paquet. Ne pas appliquer les autres règles, chaînes ou tables.

19 Actions possibles sur les paquets Ces actions également appelés cibles DROP Arrêter complètement le traitement du paquet. Ne pas appliquer les autres règles, chaînes ou tables. Reject (rejeter) fournira un retour à lémetteur

20 Flux des paquets Ordre suivant lequel les paquets sont présentés aux tables Lors du forwarding NatPrerouting FilterForward NatPostrouting Le paquet que vous voulez filtrer en « forward » nat- il pas était modifié en NAT lors de son entrée (prerouting) ?

21 Flux des paquets Ordre suivant lequel les paquets sont présentés aux tables Lors dune entrée vers un processus local Input NatPrerouting Filterinput

22 Flux des paquets Ordre suivant lequel les paquets sont présentés aux tables Lors dune sortie du processus local Ouput NatOutput FilterOutput NatPostrouting

23 Flux des paquets Ordre suivant lequel les paquets sont présentés aux tables Lors dun transit dun processus local vers un autre processus local NatOutput Filter Output FilterInput

24 Source nat et Masquerade Le SNAT est utilisé pour partager une connection Internet entre plusieurs ordinateurs. Le poste disposant de la connection va modifier ladresse source des paquets sortant en la remplaçant par lIP publique fixe de la passerelle. Lorsque le serveur répond il envoie ses paquets à la passerelle. Celle-ci va modifier ladresse de destination pour mettre celle de la machine du LAN

25 Source nat et Masquerade Le SNAT implique la modification des adresses et/ou des ports source des paquets juste avant quils ne quittent le noyau. Cette modification doit être effectuée dans la chaîne Postrouting de la table nat

26 Source nat et Masquerade : 2 solutions Si vous avez une IP publique fixe #iptables –t nat –A Posrouting –o eth0 –j SNAT Si vous avez une IP publique dynamique # iptables –t nat –A Posrouting –o eth0 –j masquerade Loption masquerade gère les changement dadresse et les coupures de connexion

27 Destination NAT Vous héberger un serveur web dans une DMZ. Vous souhaitez que le public y accède. Ladresse public de votre passerelle sera demandée par les clients du net. Le serveur de votre DMZ à ladresse et il écoute sur le port 8080 #iptables –t nat –A Prerouting –i eth0 –p tcp –dport 80 –j DNAT –to-destination :8080

28 -t nat table Nat -A Prerouting on ajoute une règle en (entrée dinterface) -i etho on précise le sens (–i=input) et la carte réseau -p TCP on indique le protocole TCP --dport 80 le port de destination prévu à lorigine. -J jump, quel action on va faire subir au paquet. DNAT modification de la destination -todestination :80 on précise la nouvelle destination

29 La syntaxe dIptables # iptable –t filter -A input –p TCP – S –j drop Table Nat Filter Mangle Chaîne Prerouting Postrouting Input Outpout forward Sélection -p protocole -S source Action -j Drop paquet rejeté Accept paquet accepté

30 La syntaxe dIptables Lister les règles -L Retirer les règles -F Ajouter une règle –A Inserer une nouvelle règle –I Remplacer une règle –R


Télécharger ppt "Firewall sous Linux Netfilter / iptables. Introduction Le sous système de traitement de paquets réseau linux sappelle Netfilter La commande employée pour."

Présentations similaires


Annonces Google