Interco.netfilter.q

7/25/2019 Interco.netfilter.q

1/9

Filtrage rseau avec netfilter/iptablesPhilippe Latu

philippe.latu(at)inetdoc.net

http://www.inetdoc.net

Rsum

tude du filtrage rseau dans le contexte d'un routeur central (hub) connect un routeur d'agence

(spoke) via un lien WAN. Comme dans les autres supports de travaux pratiques de cette srie, onassimile ces configurations types des interconnexions entre rseaux locaux et rseaux tendus. Lesquestions de ce support sont prsentes comme une introduction pas pas au filtrage rseau. Ondbute avec les outils, on poursuit avec les fonctions de suivi de communication (stateful inspection)sur une interface, puis on ajoute ce filtrage les fonctions de traduction d'adresse (NAT).

Table des matires

1. Copyright et Licence ............................................................................................................... 11.1. Mta-information .......................................................................................................... 1

1.2. Conventions typographiques ......................................................................................... 22. Architecture rseau tudie .................................................................................................... 32.1. Topologie type .............................................................................................................. 32.2. Plan d'adressage WAN ................................................................................................... 4

3. Les outils de filtrage rseau .................................................................................................... 43.1. Questions sur iptables ................................................................................................... 43.2. Questions sur netfilter .................................................................................................. 5

4. Rgles de filtrage communes toutes les configurations ........................................................... 55. Rgles de filtrage sur le poste routeur d'agence (spoke) ............................................................ 66. Rgles de filtrage sur le routeur central (hub) .......................................................................... 77. Rgles de filtrage avec identification des protocoles ................................................................. 7

7.1. Protocole ICMP ............................................................................................................. 7

7.2. Rglesde filtrage communes toutes les configurations ................................................. 88. Documents de rfrence ......................................................................................................... 88.1. IETF & IANA ................................................................................................................ 88.2. Distribution Debian GNU/Linux ..................................................................................... 88.3. Site inetdoc.net ............................................................................................................. 8

1. Copyrightet Licence

Copyright (c) 2000,2015 Philippe Latu.Permission is granted to copy, distribute and/or modify this document under theterms of the GNU Free Documentation License, Version 1.3 or any later versionpublished by the Free Software Foundation; with no Invariant Sections, noFront-Cover Texts, and no Back-Cover Texts. Acopy of the license is included

in the sectionentitled "GNU Free Documentation License".

Copyright (c) 2000,2015 PhilippeLatu.Permission est accorde de copier, distribuer et/ou modifier ce document selonles termes de la Licence de Documentation Libre GNU (GNU Free DocumentationLicense), version 1.3 ou toute version ultrieure publie par la Free SoftwareFoundation ; sans Sections Invariables ; sans Texte de Premire de Couverture,et sans Texte de Quatrime de Couverture. Une copie de la prsente Licence estincluse dans la section intitule Licence de Documentation Libre GNU .

1.1. Mta-information

Cet article est crit avec DocBookXML sur un systme Debian GNU/Linux. Il est disponible en versionimprimable au format PDF : interco.netfilter.q.pdf.

Toutes les commandes utilises dans ce document ne sont pas spcifiques une version particuliredes systmes UNIX ou GNU/Linux. C'est la distribution Debian GNU/Linuxqui est utilise pour les testsprsents. Voici une liste des paquets contenant les commandes :

Filtrage rseau avec netfilter/iptables 1
http://www.docbook.org/http://www.debian.org/http://www.inetdoc.net/pdf/interco.netfilter.q.pdfhttp://www.debian.org/http://www.docbook.org/


2/9

Filtrage rseau avec netfilter/iptables

procps - The /proc file system utilities

net-tools - The NET-3 networking toolkit

ifupdown - High level tools to configure network interfaces

iputils-ping - Tools to test the reachability of network hosts

hping3 - Active Network Smashing Tool

iptables - Administration tools for packet filtering and NAT

iptstate - Top-like state for netfilter/iptables

1.2. Conventions typographiques

Tous les exemples d'excution des commandes sont prcds d'une invite utilisateur ou promptspcifique au niveau des droits utilisateurs ncessaires sur le systme.

Toute commande prcde de l'invite $ne ncessite aucun privilge particulier et peut tre utiliseau niveau utilisateur simple.

Toute commande prcde de l'invite #ncessite les privilges du super utilisateur.



3/9


2. Architecture rseau tudie

Les manipulations sur le systme de filtrage rseau prsentes ici s'appuient sur une maquette typequi illustre une branche de la topologie Hub and Spoke. Dans cette topologie en toile, le routeurcentraljoue le rle d'un concentrateur qui fournit les accs rseau tous les routeurs d'agence.

2.1. Topologie type

La topologie tudie associe deux postes de travaux pratiques avec deux rles distincts.

Routeur central, hub, Remote Access Server, RASCe poste ralise une interconnexion LAN/WAN. Il fournit un accs Internet au routeur d'agenceclient via son interface WAN. Il dispose de son propre accs Internet via son interface LANEthernet.

Routeur d'agence, spoke, Customer Premises Equipment, CPECe poste ralise aussi une interconnexion LAN/WAN. la diffrence du routeur central, il obtientl'accs Internet sur son interface WAN et il met cet accs disposition d'un rseau local d'extrmitvia une interface LAN Ethernet (et|ou) une autre pseudo interface rseau.

__ cooper.infra.stri___/ \_ .___.

_/ \__ | | Switch1 - sw1.infra.stri/ \eth1| ==|eth0 ___________ / /______| Internet |___| ==|_ |_=_=_=_=_=_/ /_=_=_=_|\_ __/ | -| \ fa0/1| / / V \__ __/ | | \____/ | \___/ | | O ------- ___________ / /______ | |_=_=_=_=_=_/ /_=_=_=_| | | \___|

eth0|..... .................. .---PC-,~ | _|____'

\(_______) |Routeur| Rle HUB (_______) .................. / ippp0 /__ / / ippp0|.....

.................. .---PC-,~ | _|____' \(_______) _______|Routeur| Rle SPOKE eth0 (_______) .................. _________/ dummy0

Pour les besoins des questions de travaux pratiques ci-aprs, on se limite un scnario simpled'utilisation des fonctions de filtrage rseau.

Le routeur centraldoit s'assurer que le trafic rseau qu'il route vers l'Internet provient bien de sonrouteur d'agenceauquel il a attribu une adresse IP via PPP. Ce routeur central doit limiter le volume detrafic ICMP pour viter les ventuels dnis de services relatifs ce protocole. Il peut aussi interceptertoutes les requtes DNS du routeur d'agence en exploitant un service de type cache onlypour viter lesfalsifications des rponses aux questions mises par les postes client du rseau d'agence.

Le routeur d'agencedoit s'assurer que le trafic rseau entrant sur son interface WAN est bien relatif une demande qui a t mise via cette mme interface. Ce routeur d'agence doit masquer son rseaulocal d'extrmit l'aide des fonctions de traduction d'adresse source S-NAT. Il doit aussi ouvrir un

accs d'administration SSH tout en se protgeant des attaques de type dictionnaire qui consistent essayer de se connecter au poste avec des milliers de couples login/passwordconnus. Enfin, ce mmerouteur d'agence doit donner accs un service Web hberg dans un primtre ddi au sein de cetteagence.



4/9


Pour traiter les questions ci-aprs, il est vivement conseill de s'appuyer sur la Section 8, Documentsde rfrence .

2.2. Plan d'adressage WAN

Le plan d'adressage des liaisons WAN reprend celui du support de travaux pratiques Topologie Hub &Spoke avec le protocole PPP.

Tableau 1. Plan d'adressage liaisons WAN

Poste routeurcentral

bus Ntl.

Adresses IP hub:spoke Ntl.

Poste routeurd'agence

alderaan S0.1 104 192.168.104.1:192.168.104.2 105 bespin

centares S0.2 106 192.168.106.1:192.168.106.2 107 coruscant

dagobah S0.3 108 192.168.108.1:192.168.108.2 109 endor

felucia S0.4 110 192.168.110.1:192.168.110.2 111 geonosis

hoth S0.5 112 192.168.112.1:192.168.112.2 113 mustafar

naboo S0.6 114 192.168.114.1:192.168.114.2 115 tatooine

3. Les outils de filtrage rseau

Sur un systme GNU/Linux, les fonctions de filtrage rseau sont rparties entre les espaces mmoirenoyau (kernelspace) et utilisateur (userspace).

Que l'on utilise un noyau fourni par la distribution au le noyau construit l'issue des travaux pratiquesConfiguration des fonctions rseau & compilation du noyau Linux, les fonctions de filtrage rseausont disponibles sous forme de modules que l'on (charge|dcharge) de la mmoire systme en coursd'excution. Les outils de filtrage rseau du noyau Linux chargent dynamiquement ces modules en

fonction de la syntaxe des rgles de filtrage saisies.

3.1. Questions sur iptables

Q1. Quels paquets contiennent les outils utilisateur principaux de manipulation des fonctions defiltrage rseau ?

Rechercher dans le cache du gestionnaire de paquets de la distribution des mots cls tels queiptablesou firewall l'aide des commandes apt-cacheou aptitude.

Dans le cadre des travaux pratiques, seuls les outils lmentaires sont utiliss pour faciliter lacomprhension des mcanismes de suivi de communication du systme de filtrage rseau. On

ne s'intresse donc pas aux paquets qui fournissent des solutions de filtrage cl en main.Q2. Quelles sont les options de la commande iptables qui permettent de visualiser les rgles de

filtrage rseau actives ainsi que les compteurs correspondants ? Quelle option faut-il prciserpour spcifier la table consulte : netfilter ou nat.

Consulter les pages de manuels via # man iptables.

Q3. Comment visualiser les modules chargs dynamiquement en fonction de l'utilisation des rglesde filtrage rseau ?

Utiliser la commande qui sert lister les modules chargs en mmoire avant et aprs avoirconsult les tables de filtrage rseau pour la premire fois.

Q4. Quels sont les outils de sauvegarde et de restauration des jeux de rgles de filtrage rseau fournisavec le paquet iptables ?

Consulter la liste des fichiers du paquet iptables.

http://www.inetdoc.net/travaux_pratiques/interco.kernel.q/http://www.inetdoc.net/travaux_pratiques/interco.ppp.q/http://www.inetdoc.net/travaux_pratiques/interco.kernel.q/http://www.inetdoc.net/travaux_pratiques/interco.ppp.q/http://www.inetdoc.net/travaux_pratiques/interco.ppp.q/


5/9


3.2. Questions sur netfilter

Q5. Comment identifier la version du noyau utilise et la disponibilit des fonctions de filtragerseau de cette version ?

Aprs avoir utilis la commande historique d'identification de la version du noyau, faire unerecherche dans l'arborescence des modules de ce noyau avec la commande find. Trouver lesfichiers dont le nom comprend la chane netfilter.

Q6. Quels sont les objets du systme de fichiers virtuel /procrelatifs aux fonctions de filtrage rseaudu noyau Linux ?

Avec le chargement des modules en mmoire systme, de nouvelles entres apparaissent dansl'arborescence/proc. Mme si l'arborescence /procn'est pas un vritable systme de fichiers, ilest possible d'effectuer des recherches toujours l'aide de la commande find.

Q7. Comment visualiser les informations de la machine d'tat de suivi de communication ?

Rechercher les entres de l'arborescence /procdont le nom comprend la chane conntrack.

La section 7.2 Les entres de conntrackduTutoriel iptablesdcrit prcisment les diffrentschamps du suivi de communication.

Le programme iptstate affiche les entres de la table de suivi de communication sur le mmemode que la commande top.

4. Rgles de filtrage communes toutes les configurations

La mise en place du filtrage rseau sur les quipements doit rpondre deux principes.

Comme les quipements d'interconnexion mis en uvre dans ces travaux pratiques dlimitent desprimtres de faible dimension, on a une connaissance exhaustive des flux rseaux sur le systme.On adopte donc la rgle : tout trafic rseau non autoris est interdit.

Pour exploiter au mieux les fonctionnalits offertes par le noyau Linux, on s'appuie sur le suivide communication (stateful inspection) pour obtenir un filtrage rseau le plus efficace possible.On cherche donc suivre la rgle d'or d'criture des rgles de filtrage qui consiste dcrire leplus prcisment possible le premier paquet qui doit tre enregistr dans la table de suivi decommunication. Cette rgle de description du premier paquet doit tre place aprs celle(s) quilaisse(nt) passer les flux rseau dj enregistrs dans la machine d'tat de suivi de communication.

Q8. Quelle est la syntaxe de la commande iptablessur la politique par dfaut appliquer sur leschanes de la table netfilterpour respecter le premier principe de filtrage nonc ci-dessus ?

De faon trs classique, on consulte les pages de manuels de la commande iptables et onrecherche le mot cl policy. La stratgie retenue suppose que l'on implante rgles d'autorisationdes flux rseaux valides et que tout autre trafic soit limin. La politique par dfaut appliquer

sur les trois chanes est donc : DROP.La section 9.3. Commandesdu Tutoriel iptablesdonne aussi la syntaxe de configuration decible par dfautpour les chanes lmentaires : INPUT, FORWARDet OUTPUT.

Q9. Quelle est la syntaxe de la commande iptablesqui autorise le trafic rseau dj enregistr dansla machine d'tat de suivi de communication sur les chanes INPUTet OUTPUT?

La recherche de la correspondance statedans les pages de manuel de la commande iptablespermet de slectionner les tats ESTABLISHEDet RELATED appliquer sur les chanes.

La section 7.3. tats de l'espace utilisateurdu Tutoriel iptablesdcrit les correspondancesentre les tats et les flux rseau.

Q10. partir des rgles de filtrage prcdentes, est-il possible d'mettre ou de recevoir du traficrseau non enregistr dans la machine d'tat de suivi de communication ?

Faire des tests ICMP, DNS et HTTP. Conclure et justifier.

http://www.inetdoc.net/guides/iptables-tutorial/http://www.inetdoc.net/guides/iptables-tutorial/http://www.inetdoc.net/guides/iptables-tutorial/http://www.inetdoc.net/guides/iptables-tutorial/http://www.inetdoc.net/guides/iptables-tutorial/http://www.inetdoc.net/guides/iptables-tutorial/


6/9


Q11. Quelle est la syntaxe de la commande iptables qui autorise le trafic rseau depuis (chaneOUTPUT) et vers (chane INPUT) l'interface de boucle locale de l'quipement ?

Pour que les processus locaux au systme puissent communiquer entre eux via la pile deprotocole TCP/IP, il est essentiel d'autoriser le trafic sur l'interface de boucle locale lo. Larecherche de la correspondance state dans les pages de manuel de la commande iptablespermet de slectionner l'tat NEWpour autoriser le premier paquet depuis et vers cette interface.Tous les autres paquets devront correspondre aux rgles dj crites ci-dessus.

Q12. Quelle est la syntaxe de la commande iptablesqui autorise le trafic sortant sur l'interface LANen sortie du systme ?

Comme pour la question prcdente, les processus locaux au systme doivent pouvoirmettre du trafic via la pile de protocole TCP/IP. Il est donc prfrable d'autoriser le traficsortant sur l'interface LAN. On utilise nouveau l'tat NEWpour autoriser le premier paquetdepuis l'interface. Tous les autres paquets devront correspondre aux communications djenregistres dans les tables de suivi.

Q13. Quelle est la syntaxe de la commande iptablesqui autorise le trafic ICMP en entre du systmeen limitant le nombre des nouvelles requtes 5 par minute ?

Interdire tout trafic ICMP est une trs mauvaise ide du point de vue administration rseau.

Pour autant, il est trs facile de se prmunir contre les tentatives de saturation du trafic sur lesinterfaces en limitant le nombre de requtes simultanes en entre sur toutes les interfaces.Dans un premier temps on se contente de cette rgle unique trs simple mme s'il est judicieuxde valider les types et les codes des messages ICMP. Dans un deuxime temps, on distinguerales types de messages ; voir Section 7.1, Protocole ICMP .

On peut qualifier le fonctionnement de la limitation de trafic l'aide des commandes pingethping3 partir d'un hte distant.

Une fois ces rgles basiques en place, on peut aborder les filtrages rseau spcifiques la topologiede travaux pratiques.

5. Rgles de filtrage sur le poste routeur d'agence (spoke)

Suivant le cahier des charges fix, la premire contrainte impose au poste routeur d'agence est des'assurer que le trafic entrant sur son interface WAN est bien relatif une demande mise via cettemme interface. Le seconde contrainte tant le routage pour le rseau local d'extrmit, on doitcomplter le filtrage avec une traduction d'adresse source lie cette mme interface WAN.

Il est conseill de travailler partir du fichier de rgles de filtrage tabli dans la section prcdente.Aprs chaque dition de ce fichier, la commande iptables-restorepermet d'appliquer le nouveau jeude rgles aprs avoir effac les rgles prcdentes et remis les compteurs depaquets zro.

Q14. Quelle est la syntaxe de la commande iptablesqui autorise le trafic sortant sur l'interface WAN ?

Relativement la configuration commune prsente prcdemment, il suffit d'ajouter une rgle

d'autorisation sur la chane OUTPUT tout en enregistrant le premier paquet sortant avec l'tatNEW.

Avec ce jeu de rgles actif, on peut lancer la squence habituelle des tests ICMP et caractriserl'utilisation des rgles en visualisant l'volution des compteurs avec la commande iptables -vL.

Q15. Quelle est la syntaxe de la commande iptablesqui active la traduction d'adresse source pour letrafic sortant sur l'interface WAN ?

Le but est de configurer le routeur d'agence pour qu'il ne soit visible de l'Internet qu' traversl'adresse IP dlivre par le routeur central (ou le fournisseur d'accs). Cette opration utilise latable nat. On ajoute dans cette table une rgle de traduction d'adresse source dynamique lie l'interface WAN. Il faut rechercher les informations sur la cible MASQUERADEdans les pages demanuels de la commande iptables.

Q16. Ce jeu de rgles est-il suffisant pour que le poste se comporte comme un routeur avec unefonction de traduction d'adresses IP sources ?



7/9


Cette question comprend deux parties. Il faut s'intresser dans un premier temps la fonctionde routage proprement dite et consulter l'indicateur d'tat du noyau Linux qui correspond lacapacit transmettre un paquet d'une interface vers une autre. Dans un second temps, il fautidentifier dans le systme de filtrage la chane ddie au transit des paquets.

Q17. Quelle est la syntaxe de la commande iptablesqui autorise le transfert des paquets entrant parl'interface LAN vers l'interface WAN ?

Rechercher la syntaxe des rgles correspondant ce qui a dj t vu dans la mise au point dujeu de rgles communes pour les chanes INPUTet OUTPUT. Il faut que tout trafic relatif unedemande enregistre dans la table de suivi des communications soit accept. Il faut aussi queles nouveaux paquets entrant par l'interface LAN soient admis et enregistr dans cette table.

Q18. Quelle est la syntaxe de la commande iptables qui permet l'administration distance durouteur d'agence (Spoke) via son interface WAN en utilisant le protocole SSH ? Proposer uneconfiguration qui offre une protection contre les attaques de type dictionnaire.

6. Rgles de filtrage sur le routeur central (hub)

Suivant le cahier des charges fix, le routeur central doit autoriser le trafic issu du poste client sur soninterface WAN et le router sur l'interface LAN.

Tout comme dans le cas du routeur d'agence, on utilise le jeu de rgles communes que l'on complteavec les besoins spcifiques la configuration d'un routeur qui doit faire transiter le trafic d'uninterface sur l'autre.

la diffrence du routeur d'agence, le routeur central matrise l'attribution des adresses IP. On peutdonc inclure le contrle des adresses IP sources dans les rgles de filtrage rseau.

Q19. Le jeu de rgles communes est-il suffisant pour que le poste se comporte comme un routeur ?

Identifier les conditions ncessaires pour que la fonction routage du noyau soit active et que lefiltrage rseau autorise le transit de l'interface WAN vers l'interface LAN.

Q20.Quelle est la syntaxe de la commande

iptablesqui autorise le transfert des paquets entrant parl'interface WAN vers l'interface LAN ?

Q21. Aprs avoir initi des communications avec les diffrents protocoles usuels (ICMP, UDP et TCP),relever l'tat des communications du routeur d'agence distant avec l'outil iptsate.

Q22. Est-il possible de visualiser l'aide de l'analyseur rseau wireshark le trafic retour relatif auxrequtes mises par le client WAN ?

Q23. Sans protocole de routage dynamique assurant la publication de la route vers le rseau tendusur l'Internet, quelle est la solution technique utiliser pour que les postes clients distantspuissent accder aux autres rseaux ?

Q24. Quelle est la syntaxe de la rgle d'implantation de la traduction d'adresses IP source en sortiede l'interface LAN du routeur central ?

7. Rgles de filtrage avec identification des protocoles

Pour les deux configurations tudies ci-avant, aucune distinction de protocole n'a t effectue.Pour affiner le processus d'enregistrement et de suivi des communications rseau, il est possible dedistinguer les caractristiques de chacun des protocoles autoriss.

7.1. Protocole ICMP

Le protocole ICMP dcrit dans le document standard RFC792 Internet Control Message Protocolest

une pice essentielle du modle TCP/IP. Il est principalement utilis pour rapporter les conditionsd'erreurs sur les rseaux. Cependant, les caractristiques actuelles du protocole ne recommandentaucun contrle de validation sur les messages d'erreur reus. Ce protocole laisse donc la porte ouverte

https://www.rfc-editor.org/rfc/rfc792.txt


8/9


une grande varit d'attaques qui peuvent tre effectues contre TCP l'aide de messages ICMP. Cesattaques comprennent la rinitialisation de connexion, la rduction du dbit de sortie, les dgradationsde performances. Toutes ces attaques peuvent tre ralises depuis des rseaux distants, sans lancessit d'analyser les paquets qui correspondent la connexion TCP attaque.

Alors que les implications sur la scurit du protocole ICMP sont connues depuis longtemps, tous lessystmes n'ont pas mis en application des contrles de validation sur les messages d'erreur reus pourrduire au minimum l'impact de ces attaques.

Au niveau du noyau Linux, les responsables du sous-systme rseau ont dcid de ne plus traiter lesmessages de type 4 source-quench.

On dispose des ressources suivantes pour dbuter l'tude du protocole ICMP.

La liste des types de messages ICMP est enregistre par l'Internet Assigned Numbers Authority(IANA) : ICMP parameters.

Le Tutoriel iptablescontient une section complte de prsentation des caractristiques du protocoleICMP.

7.2. Rgles de filtrage communes toutes les configurations

Avec le protocole TCP, il est possible d'identifier les phases d'tablissement, de maintien et delibration de connexion.

Avec le protocole UDP, il n'y a pas grand chose identifier puisque ce protocole n'est pas orientconnexion et que le nombre des champs de l'en-tte est trs limit.

Q25. Quelle est la syntaxe d'appel de la commande iptablesqui permet d'afficher la liste des messagesICMP et leurs types connus du systme de filtrage rseau ?

Q26. Quelles sont les modifications apporter sur le jeu de rgles communes pour distinguer lesmessages ICMP les plus importants ?

Q27. Quelles sont les modifications apporter sur le jeu de rgles communes pour distinguer lesconditions sur les connexions TCP ?

Q28. Quelles sont les modifications apporter sur le jeu de rgles communes pour distinguer leprotocole UDP ?

8. Documents de rfrence

8.1. IETF & IANA

Types de messages ICMP

L'Internet Assigned Numbers Authoritya enregistr les types de messages ICMP la page ICMPparameters.

8.2. Distribution Debian GNU/Linux

Manuel de rfrence DebianManuel de rfrence Debian : configuration du rseau: chapitre du manuel de rfrence Debianconsacr la configuration rseau.

8.3. Site inetdoc.net

Configuration d'une interface de rseau localConfiguration d'une interface de rseau local : identification du type d'interface, de sescaractristiques et manipulations des paramtres. Ce support fournit une mthodologie dedpannage simple d'une connexion rseau.

http://www.inetdoc.net/travaux_pratiques/config.interface.lan/http://www.debian.org/doc/manuals/debian-reference/ch05.fr.htmlhttp://www.debian.org/doc/manuals/debian-reference/ch05.fr.htmlhttp://www.iana.org/assignments/icmp-parametershttp://www.inetdoc.net/travaux_pratiques/config.interface.lan/http://www.debian.org/doc/manuals/debian-reference/ch05.fr.htmlhttp://www.iana.org/assignments/icmp-parametershttp://www.iana.org/assignments/icmp-parametershttp://www.inetdoc.net/guides/iptables-tutorial/http://www.iana.org/assignments/icmp-parameters


9/9


Fonctions rseau du noyau LinuxConfiguration des fonctions rseau & compilation du noyau Linux: prsentation et configurationdes fonctions rseau du noyau LINUX

Configuration des fonctions rseau & compilation du noyau LINUXConfiguration des fonctions rseau & compilation du noyau Linux : travaux pratiques sur laprparation d'un systme routeur GNU/Linux. Compilation d'un noyau LINUX partir de sessources aprs avoir pass en revue ses fonctions rseau et slectionn les pilotes de priphriques

ncessaires.

Didacticiel sur IptablesTutoriel iptables : guide trs complet sur le fonctionnement du filtrage rseau avec les noyauxLinux.

Guide Pratique du NATGuide Pratique du NAT: Ce document dcrit comment raliser du camouflage d'adresse IP, unserveur mandataire transparent, de la redirection de ports ou d'autres formes de Traductiond'adresse rseau (Network Address Translationou NAT) avec le noyau Linux 2.4.

Filt tfilt /i t bl 9
http://www.netfilter.org/documentation/HOWTO/fr/NAT-HOWTO.htmlhttp://www.inetdoc.net/guides/iptables-tutorial/http://www.inetdoc.net/travaux_pratiques/interco.kernel.q/http://www.inetdoc.net/travaux_pratiques/interco.kernel.q/