firewalling amine bouabid
Post on 12-Feb-2018
259 Views
Preview:
TRANSCRIPT
-
7/23/2019 Firewalling Amine Bouabid
1/18
FirewallingFirewalling et NAT souset NAT sous
LINUXLINUX
Bouabid Amine Formation TRANSFER 21-25 SEPT 2002
-
7/23/2019 Firewalling Amine Bouabid
2/18
Types deTypes de firewallfirewall Filtres de paquet:
La dcision de filtrage bas uniquement sur les valeursdes champs de lentte IP (adresse source/destination,port source/destination).
Exemple : les filtres de linux.
Filtres de contenu: la dcision de filtrage est bas sur le contenu desinformations reus (le nom dun site web, le contenudune site web, les commandes smtp etc..).
Exemple : ISA server de microsoft
Filtre hybride: La dcision est bas et sur lentte du paquet IP ,et surle contenu.
Exemple : CheckPoint, Cisco PIX.
-
7/23/2019 Firewalling Amine Bouabid
3/18
Le filtrage des paquetsLe filtrage des paquets
Le filtrage des paquets consiste capturer lespaquets en entre, analyserjustelenttedechaque paquet ensuite dcider du sort de se
paquet.Le filtre peut dcider de: liminer le paquet (DROP, REJECT). Remettre le paquet la machine local (ACCEPT).
Router le paquet vers une interface de sortie(FORWARD).
-
7/23/2019 Firewalling Amine Bouabid
4/18
Pourquoi FiltrerPourquoi Filtrer
Contrle:
Contrler le trafic en destination ou qui estoriginaire de certaines parties du rseau.
Scurit:
Lorsque la machine est linterface entre lerseau local et Internet, le filtrage permet deslectionner le trafic entrant et sortant en se
basant sur les services (numro de port) etlorigine du traffic (adresse IP).
-
7/23/2019 Firewalling Amine Bouabid
5/18
Le filtrage sousLe filtrage sous LinuxLinux
Le filtrage sous linux est intgr au niveau dunoyau sous forme de modules.
Les diffrents programmes de filtrage de linux:
IPFWADM: partir du noyau 1.1.x
IPCHAINS: partir du noyau 2.2.x
IPTABLES: partir du noyau 2.4.x
-
7/23/2019 Firewalling Amine Bouabid
6/18
Comment les paquet traversentComment les paquet traversent
les filtresles filtres
Les paquets traversent 3 point principal quon appelle
chane de filtrage:
INPUT (entre)
OUTPUT (sortie)
FORWARD (rexpdition).
input output
ForwardentreDcision
de
routage
sortie
Processus
local
Dcision
de
routage
-
7/23/2019 Firewalling Amine Bouabid
7/18
Les chaLes chanes de filtragenes de filtrage
Chaque point dans le schma correspond une chane de filtrage
Une chane de filtrage est une suite de rglesde filtrage.
Une rgle analyse lenttedu paquet et dcide sildoit tre remis au processus local, ou sil doitrout, ou limin.
Une rgle particulire dite rgle par dfaut, estconsult si aucune rgle ne correspond au paquet
captur.
-
7/23/2019 Firewalling Amine Bouabid
8/18
Traitement des paquets reTraitement des paquets reusus
Lorsquun paquet est reu, le noyau regarde dans
ladresse destination pour dterminer sil est destine la machine local ou une autre machine.
Dans le premier cas il sera remis la chane Input. Silnest pas filtr les processus lattendant vont le
recevoir. Dans le deuxime cas : si la machine est autorise faire du routage il sera remis a la chane Forward, sinonle paquet sera limin.
Au niveau de la chane Forward si le paquet est accept
il sera remis a la chane output. Enfin un processus local qui veut mettre des paquets,
les paquets seront remis a la chane output.
-
7/23/2019 Firewalling Amine Bouabid
9/18
Format dFormat dune rune rglegle
iptables -[ADC] Chain rule-specification action[options]Iptables est le nom de la commande.-A : ajouter une rgle.-D : enlever une rgle.-C : remplacer un rgle.Chain = input|output|forwardSpcification de la rgle: adresse et port
source/destination type de protocole (ip, udp, tcp,
icmp) et interface.Action = ACCEPT|REJECT|DENY etc..
-
7/23/2019 Firewalling Amine Bouabid
10/18
SpSpcifications du filtragecifications du filtrage
1. Spcification des adresses source et destination:Ladresse source avec loption: -s adresse/prefixLadresse destination avec loption :-d adresse/prefix.Par exemple:iptables -A INPUT -s 0/0 -j DROP 0/0 dsigne toutes
les adresses.
Iptable A output s 192.168.0.0/24 d 10.0.0.0/8 jACCEPT
Accepte le trafic qui provient des adresses192.168.0.0 / 255.255.255.0 vers les adresses10.0.0.0 / 255.0.0.0
-
7/23/2019 Firewalling Amine Bouabid
11/18
SpSpcifications du filtragecifications du filtrage
2- spcification du numro de port:
Avec les options s et d il est possible de spcifier le numrode port apres ladresse et son masque
Exemple iptables A s 192.168.0.0/24 0/0 80 j ACCEPT
Accepte toutes les connexions http a partir du rseau
192.168.0.0/24.3- Spcification de linversion
Des options comme s et d peuvent avoir leur argumentprcd par ! Ce qui signifie prendre linverse de lavaleur spcifi
ExempleIptables A s ! 192.168.0.0/24 0/0 j REJECT
Toutes les adresses diffrentes de 192.168.0.0/24 sont rejetspar le noyau.
-
7/23/2019 Firewalling Amine Bouabid
12/18
4- Spcification du protocole:
Loption p permet de dfinir le protocoledonne: tcp, udp, ip, ou icmp .
Exemple:
Iptable A input p tcp s 0/0 -j ACCEPT
Iptable A output p icmp s 0/0 j REJECT
5-Spcification dune interface:
Les options i ou o pour interface input ou interface en
output.
Exemple:
Iptable A input o eth0 -s 0/0 j DENYIptable A forward i ppp0 d 0/0 j ACCEPT
SpSpcifications du filtragecifications du filtrage
-
7/23/2019 Firewalling Amine Bouabid
13/18
Le NATLe NAT
Le NAT pour Network Address Translation.
Permet de faire une correspondance entre uneadresse IP publique et une adresse priv etinversement.
Deux types NAT : statique et dynamique.
Le NAT statique permet de faire correspondre uneadresse IP publique une seule adresse priv.
Le NAT dynamique permet de faire correspondreune seule adresse publique plusieurs adresses
priv.
-
7/23/2019 Firewalling Amine Bouabid
14/18
Fonctionnement du NATFonctionnement du NAT
Le NAT permet de cacher lexistence dune machine oudun ensemble de machines qui ont des adresses privs.
Le NAT statique permet dutiliser une seule adresse
publique par adresse priv.
a sert a protger un serveur derrire un Firewall. On ne laisse passer que le trafic autoris.
Une requte mise par un serveur NAT passe par le
proxy, qui va changer ladresse source avec ladresse
publique spcifi pour le serveur.
Lorsque la rponse arrive de lextrieur, le proxy effectue
le travail inverse et rcrit ladresse de destination.
-
7/23/2019 Firewalling Amine Bouabid
15/18
Le NAT dynamiqueLe NAT dynamique
Le NAT dynamique permet dutiliser une seuleadresse IP publique pour tout le rseau local.
Le serveur utilise les numro de port pour faire latranslation
Chaque requte est identifi par une adresse IP etun numro de port.
-
7/23/2019 Firewalling Amine Bouabid
16/18
Le NAT dynamique:Le NAT dynamique:
La table du NATLa table du NAT
207.68.172.24663.209.80.235
199.232.41.10
148.87.9.44
207.46.197.113
217.12.3.11
209.73.164.90
Adresse destination
213.179.170.1213.179.170.1
213.179.170.1
213.179.170.1
213.179.170.1
213.179.170.1
213.179.170.1
Adresse publique
source
1105000110192.168.1.721650021192.168.1.6
20123420192.168.1.5
80500580192.168.1.4
232023192.168.1.3
25302225192.168.1.2
80101280192.168.1.60
Num Port
destination
Num
port du
NAT
Num Port
destination
Adresse priv
-
7/23/2019 Firewalling Amine Bouabid
17/18
IptablesIptables et NATet NAT
PREROUTING FORWARD
INPUT
POSTROUTING
OUTPUT
PROCESSUS
LOCAL
-
7/23/2019 Firewalling Amine Bouabid
18/18
IptablesIptables et NATet NAT
Le Masquerading est un cas particulier du NAT. Le changement des adresses se fait a la sortie de la
machine local, dou lutilisation de la chane
POSTROUTING. Syntaxe : iptables -t nat -A POSTROUTING -o
-j MASQUERADE.
Exemple :
iptables -t nat -A POSTROUTING -o ppp0 -jMASQUERADE.
top related