Segment 3, 3i, mercredi aprem

Ce qui a été fait et n’est plus à refaire :

GW :
La machine a été complètement réinstallée.
SlackWare 12 avec KDE 3.5
Noyaux 2.6.21.5
Nom : Norton
Pass : « system »
Adresses :
Eth0 : 172.16.0.203
Eth1 : 172.16.13.1
Eth2 : 172.16.23.1
DNS :
127.0.0.1
172.16.0.4

Dans le dossier « ~/Desktop/3i/ », un script a été créé afin de permettre l’ipforwarding sur la machine. Il porte le nom de ipforwarding.

Code:


echo 1 > /etc/…/ipv4_forward


Un script semblable permet de refuser l’ipforwarding, il s’appelle noforwarding.

Un Serveur DNS a également été installé sur la GW.


DMZ :
Pas de changement, il s’agit d’une machine ex M. Jaumain, Mandriva et windows 98.
Cette machine est reliée via un cable croisé directement à la GW.
Adresse : 172.16.13.2
Passerelle : 172.16.13.1
DNS :
127.0.0.1
172.16.13.1


Locales :
2 machines linux, noyau 2.4.31
Ces machines sont reliées à un switch 8 ports, qui est lui-même relié à la GW.
Noms : Raoul, Lincoln
Pass : « jeudi » pour les 2 machines
Adresse : 172.16.23.2, 3
Passerelle : 172.16.23.1
DNS :
172.16.23.1
172.16.13.1

2 portables supplémentaires reliés sur le switch, en machines locales donc, ayant des adresses 172.16.23.XX. Ces 2 machines appartiennent font partie des locales.
DNS :
172.16.23.1

IPTable :

But de l’exercice :

Modéliser un simple bureau d’entreprise. La machine GW est sous la forme d’un router firewall, la DMZ ferait office de serveur.
















Le firewall permettrait donc d’éviter les intrusions venant de l’extérieur, permettrait d’aller sur Internet via la GW

Iptables est sous la version 1.3.8

Pour vider toutes les règles, ça peut être utile :
iptables -F


Ça « flush » toutes les règles.

Règles pour notre cas :

Code:


#Premièrement, et avant toute chose, il faut bloquer tout.
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

#On pourrait accepter les inputs et output pour la GW
#pour qu’elle ait Internet.
#iptables –P INPUT ACCEPT
#iptables –P OUTPUT ACCEPT

#Autoriser le loopback
Iptables –A INPUT –i lo –j ACCEPT
Iptables –A OUTPUT –o lo –j ACCEPT

#Sinon, on procède comme suit, par exemple : on laisse l’Internet sur la GW :
iptables -A INPUT -p tcp --source-port 80 -j ACCEPT
iptables -A OUTPUT -p tcp --destination-port 80 -j ACCEPT
iptables -A INPUT -p udp --source-port 53 -j ACCEPT
iptables -A OUTPUT -p udp --destination-port 53 -j ACCEPT

#On va laisser la DMZ aller sur Internet :
Iptables –A FORWARD –i eth0 –o eth1 –p tcp –-source-port 80 –j ACCEPT
Iptables –A FORWARD –i eth1 –o eth0 –p tcp –-destination-port 80 –j ACCEPT
Iptables –A FORWARD –i eth0 –o eth1 –p tcp –-source-port 53 –j ACCEPT
Iptables –A FORWARD –i eth1 –o eth0 –p tcp –-destination-port 53 –j ACCEPT

#Il faut accepter les allées et venues sur le port 53 afin de laisser travailler le serveur DNS.
iptables -A FORWARD -p udp --source-port 53  -j ACCEPT
iptables -A FORWARD -p udp --destination-port 53 -j ACCEPT

#Permettre le SSH sur tout le réseau (entre les 3 interfaces)
Iptables –A INPUT –i eth1 –p tcp -–dport 22 –j ACCEPT
Iptables –A OUTPUT –o eth1 –p tcp -–dport 22 –j ACCEPT
Iptables –A INPUT –i eth0 –p tcp -–dport 22 –j ACCEPT
Iptables –A OUTPUT –o eth0 –p tcp -–dport 22 –j ACCEPT
Iptables –A INPUT –i eth2 –p tcp -–dport 22 –j ACCEPT
Iptables –A OUTPUT –o eth2 –p tcp -–dport 22 –j ACCEPT

#Accessoirement, on peut logguer tout ce qu’on rejette :
iptables –N LOG_DROP
iptables –A LOG_DROP –j LOG –lopg-prefix ‘[IPTABLES DROP] : ‘
iptables –A LOG_DROP –j DROP


Au final :

La GW sera sur Internet, la DMZ sera aussi sur Internet, les données et requêtes DNS seront libres de circuler sur le réseau entre toutes les machines, mais les locales n’auront pas le net.
Toutes les machines pourront utiliser SSH entre elles.

avis du moment ...

config du serveur dns ...
choix des dns ...
gestion des réponses ...
pas de NAT ...