[Mercredi] Table 7

Occupants de la table n°7 :

- Vandenborne Marylène.
- Schoonbroodt Martin.

Nous sommes tous les deux du groupe 3R-12

0. Introduction au cours de AIR.

1. Vérification du bon fonctionnement des machines (yoko, davio, daviodmz) qui ont été configurées l'année passée.

2. Lecture d'informations sur NetFilter.


Infos sur notre ancienne config' : voir ici.

La semaine reprend donc voici quelques unes de nos dernières manipulations sur nos machines :

Notions d'iptables :

Code:


1. iptables -P [OUTPUT, FORWARD, INPUT] [ACCEPT, DROP]
2. iptables -L  //Affiche les chaines et les règles.
3. iptables -A FORWARD -i eth2 -s 172.16.27.5 -j DROP //Yoko ne reçoit plus rien.
4. iptables -D FORWARD 1 //Supprime la règle 1 (cf. point 2).

Essais :
ssh entre machines de différentes tables (davio dans notre cas).

Regarder les ports ouverts grâce à :

6. cat /etc/services/services | grep ssh
7. iptables -A INPUT -p [UDP, TCP] --dport 22 [-s IP] -j ACCEPT
8. ssh 172.16.0.207 -l user


Source: ici.

La suite viendra surement...

Au dernier cours, on a eu droit à deux heures de cours en définissant les sujets que nous pourrons traiter dans les dernières séances du cours d'AIR.

Le sujet qui nous intéresse le plus est le "Bridge" parce que la documentation ne nous manque pas, et parce que nous nous sommes mis d'accord (tout simplement...).

Je continuerai ce post dans les prochains jours pour résumer concrètement le contenu du dernier cours.

J'oubliais dans mes posts précédents... n'oubliez pas :

Code:

echo 1 > /proc/sys/net/ipv4/ip_forward

... cela permet au noyau Linux de faire transiter les paquets entres ses interfaces réseaux.

Bon... la suite du suivi !!!

La semaine dernière, nous avons encore un peu étudié les capacités de NetFilter.

Donc voici quelques commandes qui peuvent toujours servir.

Nous travaillons avec la Gateway.

Fermeture des portes et transfert d'information

Code:

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP

Autorisations :

Autoriser des requêtes ICMP

Code:


iptables -A INPUT  -p icmp -j ACCEPT
iptables -A OUTPUT -p icmp -j ACCEPT


... et si vous voulez spécifier un certain type de paquets ICMP

Code:


iptables -A INPUT  -p icmp --icmp-type 8 -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type 8 -j ACCEPT


Autoriser des requêtes HTTP et DNS pour le navigateur Web

Code:


iptables -A INPUT  -p tcp --sport 80 -j ACCEPT
iptables -A INPUT  -p udp --sport 53 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT
iptables -A OUTPUT -p udp --dport 53 -j ACCEPT


Autoriser des connexions ssh depuis les autres tables (test réalisé avec la table 6)

Code:


iptables -A INPUT  -p tcp --sport 22 -j ACCEPT
iptables -A INPUT  -p udp --sport 22 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 22 -j ACCEPT
iptables -A OUTPUT -p udp --dport 22 -j ACCEPT


... et pour se connecter depuis une autre table

Code:

ssh 172.16.0.207 -l nom_utilisateur*

* : exemple : vénérable grand maitre (r o o t) et password : mardi

Tous les ports et protocoles associés aux services se trouvent :

Code:

cat /etc/services/services

Filtrage sur le statut d'une connexion

... spécifier l'état du paquet à "matcher" parmi les états suivants.

Code:


ESTABLISHED : paquet associé à une connexion déjà établie
NEW : paquet demandant une nouvelle connexion
INVALID : paquet associé à une connexion inconnue
RELATED : nouvelle connexion mais liée, idéal pour les connexions FTP

----------------------------------------------------------------------------------

iptables -A INPUT -i eth0 -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT


Quelques spécificités du NAT* (translation d'adresses)

* : Network Address Translation
Faire la petite différence entre le D(estination)NAT et le S(ource)NAT.

Lister les règles de la table NAT

Code:


iptables -t nat -L


On aura quelque chose comme ceci :

Code:


PREROUTING : concerne la modification des paquets dès qu'ils arrivent sur notre Gateway (ou machine).
POSTROUTING : concerne la modification des paquets qui sont sur le point de quitter la machine.
OUTPUT : concerne la modification des paquets générés localement avant un routage.

----------------------------------------------------------------------------------

Chain PREROUTING (policy ACCEPT ou DROP)
target    prot opt source              destination

Chain POSTROUTING (policy ACCEPT ou DROP)
target    prot opt source              destination

Chain OUTPUT (policy ACCEPT ou DROP)
target    prot opt source              destination


... et un petit exemple de redirection de paquets...

Code:


iptables -t nat -A PREROUTING -d 172.16.0.207 -i eth0 -j DNAT --to-destination 172.16.27.5:8080


Signification ?
Tout paquet étant véhiculer vers l'interface eth0 (de la Gateway) à destination de la Gateway est simplement redirigé vers la machine locale sur HTTP.

Liste des ports UDP et TCP

Un peu de culture : Lea Linux


La suite sera pour demain

31/10/2007

A ce labo, nous avons repartitionné le disque dur de notre Bridge pour installer correctement Slackware.

Voici les nouvelles partitions :

* HDA1 = SWAP
* HDA2 = Partition du groupe (Thierry et Rodolphe) qui fait le VPN.
* HDA3 = Partition de notre groupe, nous faisons le pont filtrant (Bridge).
* HDA4 = Partition de BOOT (/boot).

- Nous avons posé les câbles croisés.

- Nous nous sommes ensuite informés sur la notion de pont filtrant sur le web.

- Installation de la souris USB optique en configurant le fichier xorg.conf.

Après notre petit congé, nous allons enfin commencé à paramétrer noter pont filtrant.

07/11/2007

Alors voilà, nous avons commencé le laboratoire en discutant un peu sur la présentation du vendredi avec le bon marcelvh. Ensuite, nous nous sommes transformés en techniciens de surface pour arranger un peu nos tables. Tout appareil ou tout câble inutile a été déplacé.

Maintenant que tout est propre sur notre table, on a décidé de prendre deux câbles Ethernet croisés de couleur différente pour pouvoir distinguer nos interfaces du pont plus facilement.

On a donc ceci :

* eth0 = câble Ethernet croisé gris foncé.
* eth1 = câble Ethernet croisé blanc.

Au fait, notre bridge s'appelle bridge7.

Code:


vi /etc/HOSTNAME


Le but d'un pont est de relier deux réseaux distincts sans modifier le routage, il sera tout simplement transparent. Toute cette manipulation permet de mettre en place un pare-feu sans changer la configuration actuelle du réseau. Si nous ne disposons pas d'un répétiteur, le pont nous permet de faire la même chose qu'un répétiteur.

Au départ, nous étions partis dans une mauvaise optique en ajoutant manuellement des routes aux pcs. Mais là, on s'est vite rendu compte que notre bridge devenait plutôt un routeur.

Les seules routes que nous avons laissées sont les suivantes :

... sur notre passerelle nommée Davio.

Code:


route add -net 172.16.37.0 netmask 255.255.255.0 dev eth1


... sur notre zone démilitarisée Daviodmz.

Code:


route add -net 172.16.17.0 netmask 255.255.255.0 dev eth0


Sachez tout de même que l'adresse IP de Daviodmz : 172.16.37.5

N'oublions pas que nos interfaces physiques ne peuvent pas être configurées.

Editons...

Code:


vi /etc/rc.d/rc.inet1.conf


Après l'installation de Slackware, voici les manipulations suivantes sur le pont filtrant :

- Nous avons écrit un petit script shell nommé ip_tables (disponible dans le répertoire /root) où nous trouvons les instructions suivantes :

Code:


echo 1 > /proc/sys/net/ipv4/ip_forward


... pour activer le forwarding.

Code:


iptables -F


... pour vider la table filter.

Code:


iptables -t nat -F


... pour vider la table nat.

Code:

 
brctl addbr bridge0


... on ajoute une nouvelle interface nommée bridge0.

Code:


brctl stp bridge0 off


... on éteint le protocole Spanning Tree pour diminuer le trafic réseau.

Code:


brctl addif bridge0 eth0
brctl addif bridge0 eth1


... on associe nos interfaces physiques à notre pont.

Code:


ifconfig eth0 up
ifconfig eth1 up
ifconfig bridge0 up


... on active nos interfaces pour que la communication puisse débuter.

Voilà c'est tout, notre pont est fonctionnel.

Ensuite, nous voulions faire un peu de monitoring pour analyser un peu le trafic entre notre Gateway et notre DMZ.
On a utilisé l'utilitaire iptraf qui fait la même chose que tcpdump, mais dans un environnement beaucoup plus convivial (genre Ethereal).
Mais il y a aussi un autre utilitaire puissant que nous ne pourrons pas installer : ntop qui offre une analyse du trafic réseau via une interface Web.

Code:


brctl show


... affiche notre interface "pont".

Nous avons discuté ensuite avec le bon marcelvh pour définir notre objectif de notre pont filtrant et nous sommes tombés d'accord sur la QoS. On fera certains tests sur le débit, etc.

Notre schéma physique :

- Modification de notre schéma.
- Changement d'adresse IP pour la DMZ. Voici la nouvelle : 171.16.27.5.
- La DMZ a accès à Internet via le Bridge et la GW.
- On a fait du monitoring de paquets.
- On s'est rendu compte qu'iptables n'est plus la bonne solution pour filtrer, mais bien ebtables.
- On a configuré Slackware (cf. hotplug) pour qu'il détecte les clefs USB. C'est utile surtout si nous voulons récupérer dans un futur proche nos scripts.
- Installation des paquets d'ebtables.
- Quelques erreurs sont encore à corriger car apparemment ebtables s'est partiellement bien installé.