wiki:2011-2012:sisr2_-_seance_9

SISR2 - Séance 9

Mise en oeuvre d'un routeur filtrant dans une configuration à 3 réseaux

Prérequis

Schema

les machines

un routeur Linux Debian Squeeze PF (machine virtuelle VirtualBox) avec 3 cartes réseau

  • carte 1 (bridgée) : connectée au réseau externe représentant l'internet : 192.168.0.200/24
  • carte 2 (réseau interne dmz) : connectée à la DMZ : 172.16.0.1/16
  • carte 3 (réseau interne local) : connectée au réseau interne : 10.0.0.1/16

un client interne linux Debian cli

  • carte 1 : réseau interne local
  • paquets : lynks, lynx, tcpdump, nmap

un serveur web srvweb linux Debian dans la DMZ

  • carte 1 : réseau interne dmz
  • paquets : apache2, ssh, lynks, lynx, tcpdump, nmap,

un client externe cliext linux Debian

  • carte 1 : bridgée : 192.168.0.x
  • paquets : lynks, lynx, tcpdump, nmap

Objectifs

  • assurer la NAT pour les machines du réseau local
  • donner la possibilité d'accéder au serveur srvweb en http et ssh depuis partout
  • les machines srvweb et pf doivent etre capable de récuperer des paquets sur les depots debian et de les installer
  • autoriser les requetes DNS sortantes pour toutes les machines
  • la machine parefeu PF doit etre accessible en ssh
  • tous les autres flux sont bloqués

Remarques générales

  • il est impératif de repérer les chaines concernées par la modification avant d'utiliser iptables
  • on pourra utilser iptables -L pour vérifier l'effet produit
  • on pourra également utiliser nmap depuis le bon endroit

Etape 0 : vérification de la connectivité

  • aucune couche de filtrage sur PF
  • chacune des 3 machines doit être capable de pinguer l'interface de PF située sur le même réseau

Etape 0-bis : activation du routage sur PF

  • vérifier les passerelles par défaut pour chacune des machines
    • cli :
    • srvweb :
    • cliext :
    • PF :
  • activer le routage
  • tester les ping
    • cli → srvweb
    • cli → cliext
    • srvweb → cli
    • srvweb → cliext
    • cliext → cli
    • cliext → srvweb

Etape 1 : configuration de base du parefeu – on bloque tout

  • créer le script fw.sh dans /root/tppf (on devra créer le répertoire tppf dans /root)
  • politique par défaut (DROP), remise à zéro des chaines
  • vérifier avec iptables -L
  • vérifier les ping

Etape 2 : on autorise l'accès SSH à la machine PF

  • modifier le script fw2.sh dans /root/tppf
  • indiquer les chaines concernées
  • tester en se connectant en ssh depuis cli, cliext et srvweb

Etape 3 : on autorise les requetes DNS et les installations de paquets (HTTP et FTP) depuis la machine PF

  • modifier le script fw3.sh dans /root/tppf
  • indiquer les chaines concernées
  • autoriser les requetes DNS depuis PF, verifier avec host ou nslookup
  • autoriser les requetes http et ftp sortantes, tester avec aptitude update

Etape 4 : mettre en oeuvre la NAT pour le réseau local

  • modifier le script fw5.sh dans /root/tppf
  • vérifier l'accès à une page web avec lynx http://10.121.32.6

Etape 5 : on autorise les requetes DNS sortantes pour toutes les machines

  • modifier le script fw4.sh dans /root/tppf
  • indiquer les chaines concernées
  • autoriser les requetes DNS depuis le reseau local, tester avec host ou nslookup depuis cli
  • autoriser les requetes DNS depuis le reseau dmz, tester avec host ou nslookup depuis srvweb

Etape 6 : permettre l'acces web et ssh au serveur srvweb

  • modifier le script fw6.sh dans /root/tppf
  • vérifier l'accès à une page web avec lynx http://172.16.0.2 depuis cli
  • vérifier l'accès à une page web avec lynx http://172.16.0.2 depuis cliext

Etape 7 : permettre l'installation de paquets sur le serveur srvweb

  • modifier le script fw7.sh dans /root/tppf
  • vérifier avec aptitude update

Etape 8 : interdir les pings venant de l'extérieur

  • modifier le script fw8.sh dans /root/tppf
  • tester
  • wiki/2011-2012/sisr2_-_seance_9.txt
  • Dernière modification : 2012/04/13 10:28
  • de 127.0.0.1