Noël Macé
Formateur et Consultant indépendant expert Unix et FOSS
http://www.noelmace.com

Sécurité du système

Pare-feu e...
Plan
• Netfilter
• Vocabulaire
• Tables
• Cibles

• Extensions de correspondance


Options des extensions de
correspondan...
Netfilter
• Framework


Pare-feu Linux



Projet lancé en 1998



Intégré à Linux 2.3 en mars 2000
•

en remplacement d...
Vocabulaire
Élément

Définition

Chaîne

Trafic réseaux

Table

Regroupement de chaînes par catégorie

Règle

Instructions...
Tables
table

usage

chaînes
INPUT

FILTER

Filtrage classique

OUTPUT
FORWARD
PREROUTING

NAT

Translation d'ip

POSTROUT...
Cibles
cible

Effet

ACCEPT

autorisation

DROP

destruction

QUEUE

transmission en espace utilisateur

RETURN

cesser de...
Options essentielles de iptables
• Création d'une règle

# iptables [-t table] -A chaîne règle -j cible [options]
# iptabl...
Règles simples
• pour une interface


-i interface : d'entrée



-o interface : pour une interface de sortie

• pour une...
Exemples de règles simples
• Refuser tout les paquets entrant via l'interface eth1
# iptables -A INPUT -i eth1 -j DROP
# i...
Extensions de correspondance
• modules additionnels de correspondance de paquets


Peuvent être chargés de deux manières
...
Options des extensions de correspondance
• tcp et udp


--source-port [!] port[:port]



• icmp

--destination-port [!] ...
Extensions de cibles
• modules de cible additionnels


permettre de nouvelles actions sur les paquets

• LOG : journalisa...
traduction d'adresse réseau
• Uniquement disponibles dans la table nat
• modification de l'adresse de destination
# iptabl...
Ce qu’on a couvert
• Configuration du pare-feu Netfilter sous GNU/Linux


filtrage



NAT et IP maquerading



logging
...
Licence
Ce(tte) œuvre (y compris ses illustrations, sauf mention explicite) est mise à disposition selon les termes de la
...
Prochain SlideShare
Chargement dans…5
×

LPIC2 12 01 pare-feu et nating

1 090 vues

Publié le

Publié dans : Technologie
0 commentaire
0 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Aucun téléchargement
Vues
Nombre de vues
1 090
Sur SlideShare
0
Issues des intégrations
0
Intégrations
103
Actions
Partages
0
Téléchargements
37
Commentaires
0
J’aime
0
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

LPIC2 12 01 pare-feu et nating

  1. 1. Noël Macé Formateur et Consultant indépendant expert Unix et FOSS http://www.noelmace.com Sécurité du système Pare-feu et Nating Licence Creative Commons Ce(tte) œuvre est mise à disposition selon les termes de la Licence Creative Commons Attribution - Pas d’Utilisation Commerciale - Partage dans les Mêmes Conditions 3.0 France. Linux LPIC2 noelmace.com
  2. 2. Plan • Netfilter • Vocabulaire • Tables • Cibles • Extensions de correspondance  Options des extensions de correspondance • Extensions de cibles  traduction d'adresse réseau • Options essentielles de iptables • Règles simples  Exemples de règles simples Linux LPIC2 noelmace.com
  3. 3. Netfilter • Framework  Pare-feu Linux  Projet lancé en 1998  Intégré à Linux 2.3 en mars 2000 • en remplacement de ipchains (lui aussi développé par Rusty Russell) • Manipulable par divers programmes en espace utilisateur  Le plus courant étant iptables, développé par l'équipe Netfilter • Linux LPIC2 Mais il en existe d'autres, comme ufw ou gufw noelmace.com
  4. 4. Vocabulaire Élément Définition Chaîne Trafic réseaux Table Regroupement de chaînes par catégorie Règle Instructions appliquées à un trafic Cible Action effectuée en cas de validation d'une règle Stratégie (Policy) Cible par défaut d'une chaîne Linux LPIC2 noelmace.com
  5. 5. Tables table usage chaînes INPUT FILTER Filtrage classique OUTPUT FORWARD PREROUTING NAT Translation d'ip POSTROUTING OUTPUT PREROUTING MANGLE Modification de paquets RAW Marquage (nécessite le module iptable_raw) Linux LPIC2 OUTPUT PREROUTING OUTPUT noelmace.com
  6. 6. Cibles cible Effet ACCEPT autorisation DROP destruction QUEUE transmission en espace utilisateur RETURN cesser de parcourir la chaîne et retourner dans la chaîne précédente (appelante) en passant à la règle suivante Linux LPIC2 noelmace.com
  7. 7. Options essentielles de iptables • Création d'une règle # iptables [-t table] -A chaîne règle -j cible [options] # iptables [-t table] -A chaîne règle -j cible [options] • Suppression d'une règle # iptables [-t table] -D chaîne {règle|règlenum} [options] # iptables [-t table] -D chaîne {règle|règlenum} [options] • Définition de la règle par défaut (stratégie) d'une chaine # iptables [-t table] -P chaîne cible [options] # iptables [-t table] -P chaîne cible [options] • Lister toutes les règles d'une chaîne # iptables [-t table] -L chaîne [options] # iptables [-t table] -L chaîne [options] • Vider une chaîne (supprime toutes les règles d'une chaîne) # iptables [-t table] -F chaîne [options] # iptables [-t table] -F chaîne [options] Linux LPIC2 noelmace.com
  8. 8. Règles simples • pour une interface  -i interface : d'entrée  -o interface : pour une interface de sortie • pour une adresse ip  -s adresse : source  -d adresse : destination Linux LPIC2 noelmace.com
  9. 9. Exemples de règles simples • Refuser tout les paquets entrant via l'interface eth1 # iptables -A INPUT -i eth1 -j DROP # iptables -A INPUT -i eth1 -j DROP • Accepter tout les paquets sortant via l'interface eth1 # iptables -A OUTPUT -o eth1 -j ACCEPT # iptables -A OUTPUT -o eth1 -j ACCEPT • Refuser tout les paquets en entrée provenant de 192.168.1.10 # iptables -A INPUT -s 192.168.1.10/24 -j DROP # iptables -A INPUT -s 192.168.1.10/24 -j DROP • Autoriser tout les paquets en sortie à destination de 192.168.1.1 # iptables -A OUTPUT -d 192.168.1.1/24 -j ACCEPT # iptables -A OUTPUT -d 192.168.1.1/24 -j ACCEPT Linux LPIC2 noelmace.com
  10. 10. Extensions de correspondance • modules additionnels de correspondance de paquets  Peuvent être chargés de deux manières • Implicitement - Option -p protocole ou --protocol protocole • udp, tcp, icmp ou all • Explicitement - Option -m module ou --match module • Permettent d'utiliser des options supplémentaires, en fonction du module • Remarque : pour visualiser l'aide relative à un module, indiquez l'option correspondante suivie de -h Linux LPIC2 noelmace.com
  11. 11. Options des extensions de correspondance • tcp et udp  --source-port [!] port[:port]  • icmp --destination-port [!] port[:port] • tcp  --icmp-type [!] nom_du_type_icmp • numérique ou par nom (cf -h) • state --tcp-flags [!] masque comp • masques : SYN ACK FIN RST URG PSH ALL NONE •    --state {NEW|ESTABLISHED|RELATED| INVALID} séparation par des virgules [!] --syn Linux LPIC2 noelmace.com
  12. 12. Extensions de cibles • modules de cible additionnels  permettre de nouvelles actions sur les paquets • LOG : journalisation du paquet • REJECT : supprimer le paquet et répondre par un paquet d'erreur  sorte de DROP verbeux • traduction d'adresse réseau (NAT : Network address translation)  DNAT  SNAT  MASQUERADE • Et bien d'autres (cf man iptables-extensions) Linux LPIC2 noelmace.com
  13. 13. traduction d'adresse réseau • Uniquement disponibles dans la table nat • modification de l'adresse de destination # iptables -t nat -A {PREROUTING|OUTPUT} règle # iptables -t nat -A {PREROUTING|OUTPUT} règle -j DNAT --to-destination adresse-ip[-adresse-ip][:port-port] -j DNAT --to-destination adresse-ip[-adresse-ip][:port-port] • modification de l'adresse source  personnalisable # iptables -t nat -A POSTROUTING règle # iptables -t nat -A POSTROUTING règle -j SNAT --to-source adresse-ip[-adresse-ip][:port-port] -j SNAT --to-source adresse-ip[-adresse-ip][:port-port]  masquerading : une seule ip (celle du routeur) # iptables -t nat -A POSTROUTING règle -j MASQUERADE # iptables -t nat -A POSTROUTING règle -j MASQUERADE Linux LPIC2 noelmace.com
  14. 14. Ce qu’on a couvert • Configuration du pare-feu Netfilter sous GNU/Linux  filtrage  NAT et IP maquerading  logging 212.1 Configuring a router Weight : 3 Description : Candidates should be able to configure a system to perform network address translation (NAT, IP masquerading) and state its significance in protecting a network. This objective includes configuring port redirection, managing filter rules and averting attacks. Linux LPIC2 noelmace.com
  15. 15. Licence Ce(tte) œuvre (y compris ses illustrations, sauf mention explicite) est mise à disposition selon les termes de la Licence Creative Commons Attribution - Pas d’Utilisation Commerciale - Partage dans les Mêmes Conditions 3.0 France. Pour voir une copie de cette licence, visitez http://creativecommons.org/licenses/by-nc-sa/3.0/fr/ ou écrivez à : Creative Commons, 444 Castro Street, Suite 900, Mountain View, California, 94041, USA. Vous êtes libre de :  partager — reproduire, distribuer et communiquer cette œuvre  remixer — adapter l’œuvre Selon les conditions suivantes :  Attribution — Vous devez clairement indiquer que ce document, ou tout document dérivé de celui, est (issu de) l’œuvre originale de Noël Macé (noelmace.com) (sans suggérer qu'il vous approuve, vous ou votre utilisation de l’œuvre, à moins d'en demander expressément la permission).  Pas d’Utilisation Commerciale — Vous n’avez pas le droit d’utiliser cette œuvre à des fins commerciales (ie. l'intention première ou l'objectif d'obtenir un avantage commercial ou une compensation financière privée). Pour obtenir ce droit, une autorisation explicite de l'auteur est requise.  Partage dans les Mêmes Conditions — Si vous modifiez, transformez ou adaptez cette œuvre, vous n’avez le droit de distribuer votre création que sous une licence identique ou similaire à celle-ci. Pour toute demande de collaboration, d'utilisation commerciale ou de publication de ce support ou d'un dérivé de celui-ci sous une licence incompatible, contacter l'auteur via les contacts indiqués sur le site http://www.noelmace.com. Vous êtes par ailleurs vivement encouragé (sans obligation légale) à communiquer avec celui-ci si vous réalisez une œuvre dérivée ou toute amélioration de ce support. Linux LPIC2 noelmace.com

×