TP Firewall

TP rseau firewall Master ICA 2012/2013 Christian Bulfone / J ean-Michel Adam 1/14
Lobjectif de ce TP est de comprendre comment mettre en place un routeur pare-feu (firewall) entre un
rseau priv et un rseau public (Internet) laide des rgles de filtrage disponibles dans le noyau
Linux avec i pt abl es.

Universit Pierre Mends France
U.F.R. Sciences de lHomme et de la Socit
Master ICA
TP rseau firewall
Les lments ncessaires : aliasing +
masquerading + iptables
Laliasing dadresses IP
But : simuler plusieurs interfaces rseau en donnant plusieurs adresses IP la mme interface
physique
La machine qui sera routeur na quune carte rseau mais doit possder 2 adresses IP
Il est possible sous Linux de dfinir plusieurs alias pour une interface :
exemple pour eth0 les alias sappelleront eth0:0, eth0:1, eth0:2,
Toutes les commandes standards peuvent sutiliser sur les alias

Exemple :
i f conf i g et h0: 0 192. 168. 40. 1 net mask 255. 255. 255. 0 up

Le camouflage IP (IP Masquerading)
Les paquets venant de rseaux privs (tels que dfinis dans la RFC 1918, cest--dire 10.*.*.*,
172.16.*.* ou 192.168.*.*) ne sont pas routables (les routeurs sont configurs dans ce sens).

Mais grce une spcificit du noyau Linux, le camouflage ou masquage (masquerading), activ sur
un hte qui va jouer le rle de passerelle, toutes les machines du rseau priv pourront accder de
manire invisible Internet. La passerelle apparatra comme tant le seul systme utilisant la
connexion Internet.

Le camouflage rcrit les paquets lorsquils passent par la passerelle, ce qui fait quils semblent
toujours provenir de la passerelle elle-mme. Il rcrit ensuite les rponses afin quelles semblent venir
du destinataire originel.

Pour plus dinformations sur lIP masquerading, vous pouvez consulter :
http://www.e-infomax.com/ipmasq

Le filtrage des paquets
Le programme i pt abl es sert manipuler les rgles de filtrage de paquets au niveau du noyau Linux.
Il permet de configurer un pare-feu. i pt abl es peut aussi tre utilis pour contrler le camouflage (ce
sera le cas pour ce TP).

i pt abl es ou net f i l t er (http://netfilter.samba.org) est apparu avec les noyaux
2.4.

Le noyau dispose de listes de rgles appeles des chanes. Les rgles sont analyses les unes la
suite des autres dans lordre de leur criture. Ds qu'une rgle peut sappliquer un paquet, elle est
dclenche, et la suite de la chane est ignore.

Les chanes sont regroupes dans des tables. Il existe trois tables :
Table NAT (Network Address Translation) : elle est utilise pour la translation dadresse ou la
translation de port. Deux types de chanes sappliquent cette table :
- PREROUTING
- POSTROUTING

Table FILTER : cest la table par dfaut. Elle contient toutes les rgles de filtrage. Trois types de
chanes sappliquent cette table :
- INPUT
- OUTPUT
- FORWARD

Table MANGLE : c'est la table qui contient les rgles pour la modification de paquets.
Elle est peu utilise et ne fera pas lobjet du TP.
Flots de
paquets
Paquets
filtrs
dcision
de
routage
PREROUTING
POSTROUTING
FORWARD
INPUT
OUTPUT
Processus
locaux

Un paquet rentrera toujours dans la machine via la chane PREROUTING et sortira toujours de la
machine via la chane POSTROUTING.
Si le paquet doit tre rout, il passera dans la chane FORWARD. Les chanes INPUT et OUTPUT
quant elles serviront respectivement placer des rgles pour les paquets destins au et mis par le
firewall lui-mme.

Chaque chane peut fonctionner selon trois politiques diffrentes :
ACCEPT : tous les paquets sont accepts.
DROP : les paquets sont refuss sans notification l'metteur des paquets.
REJECT : les paquets sont refuss mais avec notification l'metteur des paquets.

A l'aide des rgles affectables chaque chane, il est possible d'autoriser, de restreindre ou d'interdire
l'accs diffrents services rseaux, et ainsi modifier la politique de filtrage des paquets de chaque
chane.
En fait, le filtrage de paquet fonctionne en analysant les enttes des paquets. Si les donnes contenues
dans l'entte d'un paquet correspondent une rgle alors la rgle est applique (acceptation ou refus du
paquet), sinon la rgle suivante est examine jusqu ce que toutes les rgles de la liste affecte
chaque chane soient testes.

Pour plus de dtails sur i pt abl es, consultez la documentation disponible (man i pt abl es,
http://netfilter.samba.org).

Par dfaut la table FILTER est vide et donc accepte tout. Aucune rgle de translation
d'adresse n'est prsente par dfaut.

Commandes utiles
Configuration des adresses IP des interfaces par la commande i f conf i g
Chaque interface est identifie par un nom :
eth0 : premire carte Ethernet
lo : loopback ou interface de bouclage

Liste des interfaces rseau configures :
ifconfig

Pour configurer une interface rseau :
ifconfig i nt er f ace adr esse_I P netmask masque_de_r seau up

Exemple :
i f conf i g et h0 192. 168. 10. 1 net mask 255. 255. 255. 0 up

Configuration de la table de routage : la commande r out e

Affichage de la table de routage :
route -n

Pour ajouter une entre de rseau la table de routage :
route add -net adr esse_r seau_I P netmask masque_de_r seau dev i nt er f ace

Exemples :
r out e add - net 127. 0. 0. 0 net mask 255. 0. 0. 0 dev l o
r out e add - net 192. 168. 10. 0 net mask 255. 255. 255. 0 dev et h0: 0

Pour ajouter un routeur par dfaut la table de routage :
route add default gw adr esse_I P_r out eur

Exemple :
r out e add def aul t gw 192. 168. 10. 1

Configuration des rgles de filtrage : i pt abl es

Les oprations servant grer les chanes entires (les 3 chanes intgres INPUT, OUTPUT et
FORWARD ne peuvent pas tre effaces) :

Crer une nouvelle chane utilisateur
- N i pt abl es N t est
Supprimer une chane utilisateur vide
- X i pt abl es X t est
Changer la police dune chane intgre
- P i pt abl es - P FORWARD DROP
Afficher les rgles dune chane ou de toutes
les chanes
sous forme numrique
- L

- n
i pt abl es L I NPUT
i pt abl es - L
i pt abl es - nL
Supprimer les rgles dune chane ou de toutes
les chanes
- F i pt abl es F I NPUT
i pt abl es - F
Mettre zro les compteurs de paquets et
doctets sur toutes les rgles dune chane
- Z


Les moyens pour manipuler les rgles lintrieur dune chane :

Ajouter une nouvelle rgle une chane
- A i pt abl es A I NPUT s 0/ 0 j
DENY
Insrer une nouvelle rgle une position
quelconque de la chane
- I
Remplacer une rgle une position quelconque
de la chane
- R
Supprimer une rgle une position quelconque
de la chane
- D i pt abl es D I NPUT 1
Supprimer la premire rgle vrifie dans la
chane
- D i pt abl es D I NPUT s
127. 0. 0. 1 p i cmp j DENY

Les adresses IP source (option s ou - - sour ce) et destination (option d ou - - dest i nat i on)
peuvent tre spcifies :
en utilisant le nom complet, comme pr ever t . upmf - gr enobl e. f r
en utilisant ladresse IP, comme 195. 221. 42. 159
en indiquant un groupe dadresse IP, comme 195. 221. 42. 0/ 255. 255. 255. 0 (cest--dire
toutes les adresses du rseau 195.221.42.0) ou en notation condens 195. 221. 42. 0/ 24
en dsignant nimporte quelle machine : 0. 0. 0. 0/ 0 ou 0/ 0

Ltat du paquet peut tre spcifi en utilisant
loption - - st at e :
ESTABLI SHED : paquet associ une
connexion dj tablie
NEW: paquet demandant une nouvelle
connexion
I NVALI D: paquet associ une connexion
inconnue
RELATED : nouvelle connexion mais lie,
idal pour les connexions FTP

Le protocole peut tre spcifi en utilisant loption - p ou - - pr ot ocol . Ce peut tre un nom
parmi ICMP, TCP ou UDP (en majuscule ou minuscule) ou le nombre correspondant au protocole
(respectivement 1, 6 et 17 cf / et c/ pr ot ocol s).

Lorsque TCP ou UDP est spcifi, un argument supplmentaire indique le port source (option
- - spor t ou - - sour ce- por t ) ou le port destination (option - - dpor t ou
- - dest i nat i on- por t ). Il peut sagir
dun seul port, comme - - spor t 80
de plusieurs ports (ncessite loption m mul t i por t ), comme m mul t i por t - dpor t
137, 139
dun intervalle (inclusif) de ports indiqu par le caractre :, comme - spor t 1024: 65535

La ngation est spcifie en utilisant le caractre !.

Pour les options restantes, consultez le manuel (man i pt abl es).
Prambule
Le TP est divis en 4 groupes qui utiliseront les rseaux privs suivants :

Groupe 1 : 192.168.10.0
Groupe 2 : 192.168.20.0
Groupe 3 : 192.168.30.0
Groupe 4 : 192.168.40.0

Chaque groupe utilisera 3 machines, dcoupes selon le schma suivant :
groupe 1 groupe 2 groupe 3 groupe 4
H2 H2 H2 H2
H3 H3 H3 H3
F F F F

Au sein de chaque groupe,
les machines notes H2 et H3 seront les htes du rseau priv et auront respectivement comme
adresse IP 192.168.xx.2 et 192.168.xx.3
la machine note F fera office de routeur-firewall. Elle aura donc deux adresses, lune tant son
adresse IP publique et lautre tant ladresse IP 192.168.xx.1 dans le rseau priv.

Les exemples ainsi que les commandes donns dans la suite de ce document ne concernent
que le groupe 4. Les autres groupes doivent utiliser les adresses de machines sur leur propre
rseau.

Recherche des services ouverts : tape
1) Recherche des services ouverts sur sa machine

Avant de commencer installer des filtres, il est intressant dobserver son systme et de voir
quels services sont accessibles (ouverts). Il existe beaucoup doutils pour cela, mais on peut dj
commencer par utiliser la commande net st at disponible de base sur tout systme Linux.

Dans une fentre, lancez la commande : net st at l t p
Dans une autre fentre, consultez le manuel (man net st at ), pour dterminer le rle de chacune
des options l t et p .

Quelles informations pouvez-vous tirer du rsultat de cette commande.
Comment connatre la liste des services UDP ouverts sur la machine ?

Les noms, numros et protocoles des diffrents services sont lists dans le fichier
/ et c/ ser vi ces

2) Recherche des services ouverts sur une machine distante

On peut utiliser pour cela l'outil nmap. En effet nmap permet de vrifier si des ordinateurs sont
relis au rseau (ping amlior), de scanner les ports de ces ordinateurs et enfin de dterminer leur
systme d'exploitation. Pour plus d'informations concernant nmap, consultez le manuel (man
nmap).

Dans une fentre, lancez la commande : nmap sS 195. 221. 42. 159
Quelles informations pouvez-vous tirer du rsultat de cette commande ?
En vous aidant du manuel, expliquez quelle technique de scan fait appel l'option sS

Lancez prsent les deux commandes l'une la suite de l'autre : nmap O 195. 221. 42. 159 et
nmap O 195. 221. 42. 158
Quelles informations supplmentaires pouvez-vous tirer du rsultat de ces commandes ?

Configuration du rseau : tape
firewall
192.168.40.3 192.168.40.2
192.168.40.1
Internet
195.221.42.97
Interface :
eth0 =192.168.40.3
Table de routage :
127. 0. 0. 0 255. 0. 0. 0 l o
192. 168. 40. 0 255. 255. 255. 0 et h0
def aul t 192. 168. 40. 1 et h0
Interface :
eth0 =192.168.40.3
Table de routage :
127. 0. 0. 0 255. 0. 0. 0 l o
192. 168. 40. 0 255. 255. 255. 0 et h0
def aul t 192. 168. 40. 1 et h0
Interface :
eth0 =192.168.40.2
Table de routage :
127. 0. 0. 0 255. 0. 0. 0 l o
192. 168. 40. 0 255. 255. 255. 0 et h0
def aul t 192. 168. 40. 1 et h0
Interface :
eth0 =192.168.40.2
Table de routage :
127. 0. 0. 0 255. 0. 0. 0 l o
192. 168. 40. 0 255. 255. 255. 0 et h0
def aul t 192. 168. 40. 1 et h0
195.221.42.254
Interfaces :
eth0 =195.221.42.97
eth0:0 =192.168.40.1
Table de routage :
127. 0. 0. 0 255. 0. 0. 0 l o
195. 221. 42. 0 255. 255. 255. 0 et h0
192. 168. 40. 0 255. 255. 255. 0 et h0: 0
def aul t 195. 221. 42. 254 et h0
Interfaces :
eth0 =195.221.42.97
eth0:0 =192.168.40.1
Table de routage :
127. 0. 0. 0 255. 0. 0. 0 l o
195. 221. 42. 0 255. 255. 255. 0 et h0
192. 168. 40. 0 255. 255. 255. 0 et h0: 0
def aul t 195. 221. 42. 254 et h0

La deuxime tape du TP consiste configurer sur chacune des 3 machines de votre rseau les
adresses IP et les tables de routage selon le schma dcrit ci-dessus :

2 machines sont de simples stations de travail (192.168.40.3 et 192.168.40.2) appartenant au rseau
priv
1 machine doit tre configure comme routeur-firewall avec 2 adresses IP. La premire adresse sur
eth0 sera ladresse habituelle de la machine, vous naurez donc pas la modifier (par exemple
avec bshm-120-2 comme routeur-firewall, ce sera 195.221.42.97). La deuxime adresse sur eth0:0
sera une adresse sur le rseau prive (192.168.40.1)
Sur les clients :
1) Configurez linterface rseau et la table de routage
2) Vrifiez que depuis chaque machine de votre rseau priv, vous pouvez atteindre l'autre
machine avec la commande pi ng
3) Essayez d'atteindre avec un pi ng la machine extrieure 195.221.42.158

Sur lerouteur-firewall :
1) Configurez la deuxime interface rseau (eth0:0) et la table de routage correspondante

2) Activez le routage avec la commande :
echo 1 > / pr oc/ sys/ net / i pv4/ i p_f or war d
supprimer galement la redirection de route (ICMP redirect)
echo 0 > / pr oc/ sys/ net / i pv4/ conf / al l / send_r edi r ect s
echo 0 > / pr oc/ sys/ net / i pv4/ conf / et h0/ send_r edi r ect s

3) Autorisez le routage des paquets venant du rseau priv
i pt abl es - A FORWARD - s 192. 168. 40. 0/ 24 - j ACCEPT

4) Activez le camouflage IP :
i pt abl es - A POSTROUTI NG - t nat - j MASQUERADE

5) Vrifiez la configuration du pare-feu :
Le routage des paquets venant du rseau priv doit tre autoris :

i pt abl es - L
Chai n I NPUT ( pol i cy ACCEPT)

Chai n FORWARD ( pol i cy ACCEPT)
t ar get pr ot opt sour ce dest i nat i on
ACCEPT al l - - 192. 168. 40. 0/ 24 anywher e

Chai n OUTPUT ( pol i cy ACCEPT)

Le camouflage doit tre activ :

i pt abl es t nat - L
Chai n PREROUTI NG ( pol i cy ACCEPT)

Chai n POSTROUTI NG ( pol i cy ACCEPT)
MASQUERADE al l - - anywher e anywher e


Pour vous assurer que la configuration est correcte, depuis les deux machines de votre rseau
priv :
1) Utilisez la commande pi ng pour atteindre 195.221.42.159.
2) Chargez lURL http://www.whatismyip.net dans le navigateur Mozilla Firefox.
Observez ladresse IP affiche dans la page et vrifiez quelle correspond bien celle de votre
passerelle.

Mise en place de rgles de filtrage
simples : tape
Pour apprendre manipuler les rgles de filtrage, nous allons commencer par bloquer le pi ng sur
ladresse de bouclage (127.0.0.1) de chaque machine.

1) Vrifiez que votre interface de bouclage fonctionne correctement (0% des paquets perdus) :
pi ng c 1 127. 0. 0. 1

2) Crez une nouvelle chane utilisateur nomme LOG_DROP pour la fois rejeter les paquets et
enregistrer dans le journal (fichier / var / l og/ messages) les paquets rejets.
i pt abl es N LOG_DROP
i pt abl es A LOG_DROP j LOG
i pt abl es A LOG_DROP j DROP

3) Appliquez un filtre sur la chane dentre INPUT :
i pt abl es A I NPUT p i cmp s 127. 0. 0. 1 j LOG_DROP

4) Vrifiez que votre modification a bien t prise en compte en affichant la chane INPUT :
i pt abl es L I NPUT

5) Ouvrez un autre shell dans un terminal, puis tapez la commande :
t ai l f / var / l og/ messages
Dans le terminal initial, essayez de faire nouveau le pi ng ; la connexion ne doit pas pouvoir
aboutir (100% des paquets perdus). Observez les messages qui saffichent au fur et mesure dans
le terminal dans lequel vous avez lanc la commande t ai l .

6) Supprimez la rgle (de numro 1) sur la chane INPUT :
i pt abl es D I NPUT 1 ou
i pt abl es D I NPUT p i cmp s 127. 0. 0. 1 j LOG_DROP

7) Trouvez une rgle sur le routeur-firewall pour interdire le pi ng depuis n'importe quelle machine
de votre rseau priv. Une fois que vous avez test le bon fonctionnement de la rgle depuis les
deux machines, supprimez-la sur le routeur-firewall.

Mise en place de rgles de
filtrage plus labores : tape
A prsent, votre but est d'autoriser toutes les connexions sortantes sauf les connexions HTTP
(sur le port 80) depuis votre rseau priv vers le rseau public (Internet).

1) Essayez de vous connecter avec un navigateur (Mozilla Firefox) depuis les postes clients sur
http://imss.upmf-grenoble.fr

2) Pour vrifier l'tat des diffrentes chanes sur le routeur-firewall, tapez la commande :
i pt abl es - L
Le camouflage doit tre activ et la chane utilisateur LOG_DROP doit tre prsente (cf tapes
prcdentes).




Chai n LOG_DROP ( 0 r ef er ences)
LOG al l - - anywher e anywher e LOG l evel war ni ng
DROP al l - - anywher e anywher e

3) Interdisez maintenant en TCP :
- l'accs aux paquets venant du port 80 (rponses HTTP)
- l'accs aux paquets allant vers le port 80 (requtes HTTP)

i pt abl es - A FORWARD - p t cp - - spor t 80 - mst at e - - st at e ESTABLI SHED
- j LOG_DROP
i pt abl es - A FORWARD - p t cp - - dpor t 80 - mst at e - - st at e NEW, ESTABLI SHED
- j LOG_DROP

Le rsultat i pt abl es L doit tre le suivant :

LOG_DROP t cp - - anywher e anywher e t cp spt : ht t p st at e
ESTABLI SHED
LOG_DROP t cp - - anywher e anywher e t cp dpt : ht t p st at e
NEW, ESTABLI SHED


Chai n LOG_DROP ( 2 r ef er ences)
LOG al l - - anywher e anywher e LOG l evel war ni ng
DROP al l - - anywher e anywher e
4) A partir de maintenant, il est impossible d'accder depuis les stations du rseau priv (firewall
exclu) aux pages web (par HTTP) dont le serveur fonctionne sur le port 80.
Testez le rejet des connexions HTTP sortantes en essayant de vous connecter sur
http://imss.upmf-grenoble.fr depuis les postes clients.

5) Observez les traces des paquets rejets sur le firewall. Que constatez-vous ? Quels
paquets sont bloqus (requtes ou rponses) ? Modifiez ce comportement.

Il sagit prsent de rsoudre le problme inverse, c'est--dire interdire toutes les connexions
sortantes sauf celles du protocole HTTP (sur le port 80).

Il faut ne pas oublier d'autoriser les connexions vers le service de DNS, sinon la rsolution de
nom sera impossible.

1) Tout d'abord, supprimez les rgles que vous avez dfinies dans la chane FORWARD
i pt abl es - F FORWARD

2) Modifiez ensuite la politique (en tout ce qui nest pas explicitement autoris est interdit )
pour la chane FORWARD (DROP)
i pt abl es - P FORWARD DROP

3) Il faut ajouter les rgles pour accder au DNS (en UDP et en TCP au cas o les rponses du
serveur DNS dpassent 512 octets) :

i pt abl es - A FORWARD - p udp s 0/ 0 d 192. 168. 40. 0/ 24 - spor t 53
- j ACCEPT
i pt abl es - A FORWARD - p udp s 192. 168. 40. 0/ 24 d 0/ 0 - dpor t 53
- j ACCEPT
i pt abl es - A FORWARD - p t cp s 0/ 0 d 192. 168. 40. 0/ 24 - spor t 53
- j ACCEPT
i pt abl es - A FORWARD - p t cp s 192. 168. 40. 0/ 24 d 0/ 0 - dpor t 53
- j ACCEPT

et autoriser les connexions HTTP :

i pt abl es - A FORWARD - p t cp s 0/ 0 d 192. 168. 40. 0/ 24 - - spor t 80
- mst at e - - st at e ESTABLI SHED - j ACCEPT
i pt abl es - A FORWARD - p t cp s 192. 168. 40. 0/ 24 d 0/ 0 - - dpor t 80
- mst at e - - st at e NEW, ESTABLI SHED - j ACCEPT

4) Assurez-vous quil est prsent seulement possible, partir du rseau priv :
d'effectuer des requtes DNS en UDP et en TCP (en utilisant la commande nsl ookup par
exemple : nsl ookup br assens. upmf - gr enobl e. f r ).
d'effectuer des requtes HTTP (en utilisant un browser web).

Ajoutez sur le routeur-firewall les rgles ncessaires pour

1) permettre, depuis les clients, la connexion par ssh sur la machine extrieure
prevert.upmf-grenoble.fr
(pour tester, utilisez la commande : ssh pr ever t . upmf - gr enobl e. f r )

2) bloquer le pi ng des clients internes tout en leur autorisant lutilisation de la commande
t r acer out e ; consultez le manuel di pt abl es (man i pt abl es) pour trouver les options
utiliser.

Une fois le TP termin et avant de vous dconnecter, depuis un terminal excutez les deux
commandes :
/ et c/ i ni t . d/ i pt abl es st op
/ et c/ i ni t . d/ net wor ki ng r est ar t
Fermez ensuite votre session sans redmarrer ni teindre la machine.

TP Firewall

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

TP Firewall

Uploaded by

Copyright:

Available Formats

TP rseau firewall Master ICA 2012/2013 Christian Bulfone / J ean-Michel Adam 1/14

You might also like