Debian filtrage

FILTRAGE SOUS DEBIAN, INTEGRATION D’UNE DMZ

I - CONTEXTE :

II - CONFIGURATION IP DES POSTES :

Serveur WEB Serveur 2012 Client Windows 7

IP : 192.168.2.150

Passerelle : 192.168.2.254

DNS : 12.168.1.150

IP : 192.168.1.150

Passerelle : 192.168.1.254

DNS : 192.168.1.150

Nom DNS : office.local IP : 192.168.1.X (DHCP)

Passerelle : 192.168.1.254

DNS : 192.168.1.150

III - OBJECTIFS :

On va tout d’abord paramétrer la DMZ pour filtrer les trames qui entre et qui sortent dans les différents réseaux (WEB et LAN)

On va donc dresser un tableau de filtrage qui représente les autorisations de la DMZ :

(Les chiffres représentés sont ceux du contexte) ; «  » signifie « parle à »

Dialogue autorisé Dialogue interdit

1  2

1  3

1  4

2  3

3  2

4  1

4  2

4  3 2  1

3  1

2  4

3  4

IV - POURQUOI EFFECTUER UN FILTRAGE SUR LA DMZ ?

Le filtrage va nous servir à protéger le serveur Web des intrusions tout en le rendant accessible pour ses fonctions principales (Visionner le contenu de la page HTML du serveur, accès à la base de données).

V - CONFIGURATION DU FILTRAGE :

Tout d’abord il faut vérifier la situation initiale, pour ce faire il faut réalise un ping vers l’extérieur et dans le réseau local. Si les deux répondent c’est que la configuration est correcte.

Les commandes à réaliser dans le terminal :

ping free.fr

ping 192.168.1.150 Test de ping vers les serveurs de free.fr

Test de ping vers le serveur 2012

1. Supprimer tout filtrage existant sur notre routeur Debian :

Pourquoi ? Pour partir sur une base saine ou l’on pourra tout choisir a notre guise.

Commande :

Iptables –F Cette commande efface toute entrée dans le tableau iptables

Test : pour tester les modifications il va falloir afficher le contenu de la table, si cette dernière est vide, la commande a réussi.

Commande de test :

Iptables –L Affiche le contenu d’iptables

2. Appliquer la politique par défaut :

La politique par défaut consiste à tout bloquer sauf sorties du routeur URANUS.

Commandes :

Iptables –P FORWARD DROP

Iptables –P INPUT DROP

Iptables –P OUTPUT ACCEPT On bloque toutes trames traversant le routeur.

On bloque toutes trames entrant dans le routeur.

On accepte les trames sortant du routeur.

Test : réaliser un ping vers l’extérieur et dans le réseau local. Si les deux ne répondent pas c’est que la politique par défaut a bien été appliquée.

ping free.fr

ping 192.168.2.150 Test de ping vers les serveurs de free.fr

Test de ping vers le serveur WEB

3. Autoriser le Trafic établi

Le trafic établi est la réponse aux trames déjà existantes, il est important de l'autoriser.

Commandes :

Iptables –A FORWARD –m state - -state ESTABLISHED –j ACCEPT

Iptables –A INPUT –m state - -state ESTABLISHED –j ACCEPT

Iptables –A OUTPUT –m state - -state ESTABLISHED –j ACCEPT Accepter les trames établies pour toutes trames traversant, entrant ou sortant du routeur.

4. Nouvelle règle : le LAN parle vers la DMZ et le LAN parle vers le WAN

L'objectif est d'autoriser toutes les trames sortant du LAN afin qu'elles puissent communiquer avec toutes les zones de notre situation initiale.

Commande:

Iptables –A FORWARD –i eth0 –j ACCEPT Accepter les trames traversant le routeur en provenance d’eth0 (LAN)

Test :

Réaliser un ping sur le poste client Windows 7 en direction d’internet et de la DMZ, ceux-là doivent fonctionner.

Commandes de test :

ping free.fr

ping 192.168.2.150 Test de ping vers les serveurs de free.fr

Test de ping vers le serveur WEB

5. Règle : le LAN parle au routeur

Le but est d’autoriser le dialogue avec le routeur. (ex : administration du routeur)

Commande :

Iptables –A INPUT –i eth0 –j ACCEPT Accepter les trames en entrée du LAN vers le routeur.

Test: réaliser un un ping vers le routeur URANUS depuis le poste client Windows 7, ce dernier doit répondre à votre ping.

ping 192.168.1.254 Test de ping vers le routeur URANUS

...