FIREWALL ET NAT

BTS SIO­SISR
2017
FIREWALL ET NAT
TP à réaliser
1°) Objectifs
Comprendre l'interaction entre les fonctions de routage et de filtrage, ainsi que les moyens d'accès et
de protection des réseaux.
2°) Schéma du réseau
3°) Préparation des machines
Préparation du routeur
3.1°) Créer un clone d’une machine DEBIAN sans bureau. Laissez la carte en BRIDGE ou NAT pour
le moment.
3.2°) Installer le paquet openssh-server.
3.3°) Éteindre la machine. Configurer 4 cartes réseaux avec l’adressage IP suivant :
CARTES
VIRTUAL BOX
TYPES
ADRESSES
eth0
BRIDGE
DHCP
172.16.123.X/24
eth1
RÉSEAU INTERNE
nommé sw-dmz
STATIC
192.168.200.254/24
eth2
RÉSEAU INTERNE
nommé sw-serveur
STATIC
192.168.100.254/24
eth3
RÉSEAU INTERNE
nommé sw-client
STATIC
192.168.50.254/24
Patrice DIGNAN
1/4
BTS SIO­SISR
2017
3.4°) Nommez votre routeur avec votre nom : routeur-firewall-dupont par exemple.
3.5°) Activez le routage de manière persistante en allant dans /etc/sysctl.conf et décommentez la
ligne : #net.ipv4.ip_forward=1
3.6°) Vérifiez avec la commande : sysctl -p
3.7°) Consulter la table de routage avec la commande : route -n ou netstat -r. Reporter la table de
routage sur votre documentation.
3.8°) Créez un script nommé regles dans /etc/firewall/ copiez le contenu suivant :
#Contenu de /etc/firewall/regles
#!/bin/bash
iptables -F
iptables -t nat -F
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to 192.168.200.5:80
3.9°) Rendre le script précédent exécutable : #chmod u+x /etc/firewall/regles
3.10°) Créer une référence à ce script dans le fichier /etc/rc.local. Ce fichier est exécuté au démarrage
et permet de charger les règles de filtrage. Créer un utilisateur test avec le mot de passe test ( useradd
-m test, puis passwd test). Puis, redémarrer le routeur.
#!/bin/sh -e
# rc.local
#
# This script is executed at the end of each multiuser runlevel.
# Make sure that the script will "exit 0" on success or any other
# value on error.
# In order to enable or disable this script just change the execution
# bits.
#
# By default this script does nothing.
rm /etc/udev/rules.d/70-persistent-net.rules
/etc/firewall/regles
exit 0
Préparation des autres machines
3.11°) Faire un clone d’une machine de type DEBIAN sans bureau. Installer les paquet apache2 et
openssh-server. Puis, Configurer l’adressage suivant :
CARTES
VIRTUAL BOX
TYPES
ADRESSES
eth0
RÉSEAU INTERNE
nommé sw-dmz
STATIC
192.168.200.5/24,
passerelle
192.168.200.254
Nommer la machine www. Créer un utilisateur test avec le mot de passe test.
3.12°) Faire un clone d’une machine de type DEBIAN sans bureau. Installer le paquet bind9 et
openssh-server. Puis, Configurer l’adressage suivant :
Patrice DIGNAN
2/4
BTS SIO­SISR
2017
CARTES
VIRTUAL BOX
TYPES
ADRESSES
eth0
RÉSEAU INTERNE
nommé sw-serveur
STATIC
192.168.100.10/24,
passerelle
192.168.100.254
Nommer la machine dns. Créer un utilisateur test avec le mot de passe test.
3.13°) Faire un clone d’une machine de type UBUNTU avec bureau. Configurer l’adressage suivant :
CARTES
VIRTUAL BOX
TYPES
ADRESSES
eth0
RÉSEAU INTERNE
nommé sw-client
STATIC
192.168.50.15/24,
passerelle
192.168.50.254
Nommer la machine client. Créer un utilisateur test avec le mot de passe test.
3.14°) Vérifier que toutes vos machines se pinguent et peuvent pinguer l’extérieur (google.com par
exemple).
Réflexion
3.15°) Actuellement, votre firewall est-il configuré en liste blanche ou noire ? Pourquoi ?
3.16°) Expliquer le rôle de la ligne « POSTROUTING ».
3.17°) Parmi les pings que vous avez fait précédemment, quels sont ceux qui n’auraient pas fonctionné
si la ligne POSTROUTING n’avait pas été présente ?
3.18°) Depuis le navigateur de votre machine physique (pas la machine virtuelle nommée client),
saisir l’adresse IP de la carte eth0 du routeur comme URL. Que remarquez vous pourquoi ?
Appelez moi pour que je puisse vérifier cette partie du travail.
4°) Filtrage en liste noire
Compléter le script du stop précédent afin de créer les règles suivantes :
Règle 1 : On veut une « Liste Noire ».
Règle 2 : Interdire à toutes les machines du réseau des clients (sw-client) d'établir une
connexion SSH (22/tcp) vers le routeur sauf depuis la machine nommée «client» ;
•
Règle 3 : Interdire aux internautes (flux entrants sur l’interface eth0) d'établir une connexion
SSH (22/tcp) et de faire des « ping » sur le routeur ;
•
Règle 4 : Interdire à tous les utilisateurs du réseau des clients (sw-client) de réaliser des
connections en http (80/tcp) vers le serveur web de la DMZ (sw-dmz).
•
Règle 5 : N'autoriser le routeur à ouvrir des connections ssh que vers les machines situées
dans les réseaux sw-dmz et sw-serveur.
Exécuter le script et vérifier que vos règles ont été bien appliquées.
Vérifier sur chacune des machines que les règles sont efficaces.
•
•
Appelez moi pour que je puisse vérifier cette partie du travail.
Patrice DIGNAN
3/4
BTS SIO­SISR
2017
5°) Filtrage en liste blanche
En « liste Blanche » tout est interdit donc plus aucune communication n'est autorisée. Il va donc être
nécessaire d'autoriser les communications que l'on désire. N'oubliez pas que pour qu'une
communication s'établisse il faut autoriser la requête mais aussi la réponse ;
Sauvegarder le script du stop précédent. Puis, refaire un nouveau script correspondant aux règles
suivantes :
•
•
•
•
•
Règle 1 : On veut une liste Blanche ;
Règle 2 : Tous les clients (sw-client) et le routeur doivent pouvoir utiliser le protocole DNS
(53/udp) vers le serveur DNS du réseau sw-serveur ;
Règle 3 : Seule la machine cliente nommé client (sw-client) doit pouvoir ouvrir une connexion
ssh sur le routeur ;
Règle 4 : Seule la machine cliente nommé client (sw-client) doit pouvoir ouvrir une http sur la
machine nommée www (sw-dmz).
Règle 5 : Toutes les machines de votre réseau doivent pouvoir faire des « ping » partout.
Exécutez le script et vérifier que vos règles ont été bien appliquées.
Vérifier srr chacune des machines que les règles sont efficaces.
Appelez moi pour que je puisse vérifier cette partie du travail
Patrice DIGNAN
4/4