Firewalling Amine Bouabid

7/23/2019 Firewalling Amine Bouabid

1/18

FirewallingFirewalling et NAT souset NAT sous

LINUXLINUX

Bouabid Amine Formation TRANSFER 21-25 SEPT 2002


2/18

Types deTypes de firewallfirewall Filtres de paquet:

La dcision de filtrage bas uniquement sur les valeursdes champs de lentte IP (adresse source/destination,port source/destination).

Exemple : les filtres de linux.

Filtres de contenu: la dcision de filtrage est bas sur le contenu desinformations reus (le nom dun site web, le contenudune site web, les commandes smtp etc..).

Exemple : ISA server de microsoft

Filtre hybride: La dcision est bas et sur lentte du paquet IP ,et surle contenu.

Exemple : CheckPoint, Cisco PIX.


3/18

Le filtrage des paquetsLe filtrage des paquets

Le filtrage des paquets consiste capturer lespaquets en entre, analyserjustelenttedechaque paquet ensuite dcider du sort de se

paquet.Le filtre peut dcider de: liminer le paquet (DROP, REJECT). Remettre le paquet la machine local (ACCEPT).

Router le paquet vers une interface de sortie(FORWARD).


4/18

Pourquoi FiltrerPourquoi Filtrer

Contrle:

Contrler le trafic en destination ou qui estoriginaire de certaines parties du rseau.

Scurit:

Lorsque la machine est linterface entre lerseau local et Internet, le filtrage permet deslectionner le trafic entrant et sortant en se

basant sur les services (numro de port) etlorigine du traffic (adresse IP).


5/18

Le filtrage sousLe filtrage sous LinuxLinux

Le filtrage sous linux est intgr au niveau dunoyau sous forme de modules.

Les diffrents programmes de filtrage de linux:

IPFWADM: partir du noyau 1.1.x

IPCHAINS: partir du noyau 2.2.x

IPTABLES: partir du noyau 2.4.x


6/18

Comment les paquet traversentComment les paquet traversent

les filtresles filtres

Les paquets traversent 3 point principal quon appelle

chane de filtrage:

INPUT (entre)

OUTPUT (sortie)

FORWARD (rexpdition).

input output

ForwardentreDcision

de

routage

sortie

Processus

local

Dcision

de

routage


7/18

Les chaLes chanes de filtragenes de filtrage

Chaque point dans le schma correspond une chane de filtrage

Une chane de filtrage est une suite de rglesde filtrage.

Une rgle analyse lenttedu paquet et dcide sildoit tre remis au processus local, ou sil doitrout, ou limin.

Une rgle particulire dite rgle par dfaut, estconsult si aucune rgle ne correspond au paquet

captur.


8/18

Traitement des paquets reTraitement des paquets reusus

Lorsquun paquet est reu, le noyau regarde dans

ladresse destination pour dterminer sil est destine la machine local ou une autre machine.

Dans le premier cas il sera remis la chane Input. Silnest pas filtr les processus lattendant vont le

recevoir. Dans le deuxime cas : si la machine est autorise faire du routage il sera remis a la chane Forward, sinonle paquet sera limin.

Au niveau de la chane Forward si le paquet est accept

il sera remis a la chane output. Enfin un processus local qui veut mettre des paquets,

les paquets seront remis a la chane output.


9/18

Format dFormat dune rune rglegle

iptables -[ADC] Chain rule-specification action[options]Iptables est le nom de la commande.-A : ajouter une rgle.-D : enlever une rgle.-C : remplacer un rgle.Chain = input|output|forwardSpcification de la rgle: adresse et port

source/destination type de protocole (ip, udp, tcp,

icmp) et interface.Action = ACCEPT|REJECT|DENY etc..


10/18

SpSpcifications du filtragecifications du filtrage

1. Spcification des adresses source et destination:Ladresse source avec loption: -s adresse/prefixLadresse destination avec loption :-d adresse/prefix.Par exemple:iptables -A INPUT -s 0/0 -j DROP 0/0 dsigne toutes

les adresses.

Iptable A output s 192.168.0.0/24 d 10.0.0.0/8 jACCEPT

Accepte le trafic qui provient des adresses192.168.0.0 / 255.255.255.0 vers les adresses10.0.0.0 / 255.0.0.0


11/18


2- spcification du numro de port:

Avec les options s et d il est possible de spcifier le numrode port apres ladresse et son masque

Exemple iptables A s 192.168.0.0/24 0/0 80 j ACCEPT

Accepte toutes les connexions http a partir du rseau

192.168.0.0/24.3- Spcification de linversion

Des options comme s et d peuvent avoir leur argumentprcd par ! Ce qui signifie prendre linverse de lavaleur spcifi

ExempleIptables A s ! 192.168.0.0/24 0/0 j REJECT

Toutes les adresses diffrentes de 192.168.0.0/24 sont rejetspar le noyau.


12/18

4- Spcification du protocole:

Loption p permet de dfinir le protocoledonne: tcp, udp, ip, ou icmp .

Exemple:

Iptable A input p tcp s 0/0 -j ACCEPT

Iptable A output p icmp s 0/0 j REJECT

5-Spcification dune interface:

Les options i ou o pour interface input ou interface en

output.

Exemple:

Iptable A input o eth0 -s 0/0 j DENYIptable A forward i ppp0 d 0/0 j ACCEPT



13/18

Le NATLe NAT

Le NAT pour Network Address Translation.

Permet de faire une correspondance entre uneadresse IP publique et une adresse priv etinversement.

Deux types NAT : statique et dynamique.

Le NAT statique permet de faire correspondre uneadresse IP publique une seule adresse priv.

Le NAT dynamique permet de faire correspondreune seule adresse publique plusieurs adresses

priv.


14/18

Fonctionnement du NATFonctionnement du NAT

Le NAT permet de cacher lexistence dune machine oudun ensemble de machines qui ont des adresses privs.

Le NAT statique permet dutiliser une seule adresse

publique par adresse priv.

a sert a protger un serveur derrire un Firewall. On ne laisse passer que le trafic autoris.

Une requte mise par un serveur NAT passe par le

proxy, qui va changer ladresse source avec ladresse

publique spcifi pour le serveur.

Lorsque la rponse arrive de lextrieur, le proxy effectue

le travail inverse et rcrit ladresse de destination.


15/18

Le NAT dynamiqueLe NAT dynamique

Le NAT dynamique permet dutiliser une seuleadresse IP publique pour tout le rseau local.

Le serveur utilise les numro de port pour faire latranslation

Chaque requte est identifi par une adresse IP etun numro de port.


16/18

Le NAT dynamique:Le NAT dynamique:

La table du NATLa table du NAT

207.68.172.24663.209.80.235

199.232.41.10

148.87.9.44

207.46.197.113

217.12.3.11

209.73.164.90

Adresse destination

213.179.170.1213.179.170.1

213.179.170.1

213.179.170.1

213.179.170.1

213.179.170.1

213.179.170.1

Adresse publique

source

1105000110192.168.1.721650021192.168.1.6

20123420192.168.1.5

80500580192.168.1.4

232023192.168.1.3

25302225192.168.1.2

80101280192.168.1.60

Num Port

destination

Num

port du

NAT

Num Port

destination

Adresse priv


17/18

IptablesIptables et NATet NAT

PREROUTING FORWARD

INPUT

POSTROUTING

OUTPUT

PROCESSUS

LOCAL


18/18

IptablesIptables et NATet NAT

Le Masquerading est un cas particulier du NAT. Le changement des adresses se fait a la sortie de la

machine local, dou lutilisation de la chane

POSTROUTING. Syntaxe : iptables -t nat -A POSTROUTING -o

-j MASQUERADE.

Exemple :

iptables -t nat -A POSTROUTING -o ppp0 -jMASQUERADE.

Documents

Firewalling Amine Bouabid