Scribd
Importer
81 vues6 pages

Filt Rage

Transféré par

Laurent Niore
Copyright
© © All Rights Reserved
Nous prenons très au sérieux les droits relatifs au contenu. Si vous pensez qu’il s’agit de votre contenu, signalez une atteinte au droit d’auteur ici.
Formats disponibles
Téléchargez aux formats DOCX, PDF, TXT ou lisez en ligne sur Scribd
81 vues6 pages

Filt Rage

Transféré par

Laurent Niore
Copyright
© © All Rights Reserved
Nous prenons très au sérieux les droits relatifs au contenu. Si vous pensez qu’il s’agit de votre contenu, signalez une atteinte au droit d’auteur ici.
Formats disponibles
Téléchargez aux formats DOCX, PDF, TXT ou lisez en ligne sur Scribd

1.

FILTRAGE DE PAQUETS (STATELESS FILTERING)

Source : http://irp.nain-t.net/doku.php/120securite:050_firewalls

192.168.1.0/24 192.168.1.0/28 FTP, http, DNS, Messagerie


web.exemple.cm tchafros@ exemple.cm

Proxy= pare-feu applicatif

1- Entre le réseau privé et le Net

Toujours typiquement, ce sont les clients du réseau (les utilisateurs) à qui l'on va
donner des possibilités d'accéder au Net comme par exemple le surf ou la
messagerie.

 Toutes les requêtes partent du réseau privé vers le Net.


 Seules les réponses à ces requêtes doivent entrer dans cette zone. Les accès
peuvent être complètement bridés (les clients du réseau privé n'ont aucun
droit d'accès vers le Net, ça nuit à leur productivité. Seul le patron y a droit).
 Ou alors, les utilisateurs ne pourront consulter qu'un nombre de sites limités,
dans le cadre de leurs activités professionnelles exclusivement.
 Très généralement, cette zone est construite sur une classe d'adresses privées
et nécessite donc une translation d'adresse pour accéder au Net. C'est le
routeur qui se chargera de cette translation.

2- Entre la DMZ et le Net

Ici, nous avons des serveurs qui doivent être accessibles depuis le Net. Un
serveur Web, un serveur de messagerie, un FTP…
 Il faudra donc permettre de laisser passer des connexions initiées depuis
l'extérieur. Bien entendu, ça présente des dangers, il faudra surveiller
étroitement et ne laisser passer que le strict nécessaire.

3- Entre le réseau privé et la DMZ

Les accès devraient être à peu près du même type qu'entre la zone privée et le
Net, avec un peu plus de souplesse.

En effet, il faudra

 Mettre à jour les serveurs web,


 Envoyer et recevoir les messages, puisque le SMTP est dedans
 Mettre à jour le contenu du FTP (droits en écriture).

 En revanche, depuis la DMZ, il ne devrait y avoir aucune raison pour


qu'une connexion soit initiée vers la zone privée.

NETFILTER
#relayer les requêtes locales vers internet/transformer la machine en parefeu/routeur

echo 1 > /proc/sys/net/ipv4/ip_forward

Bloquer tous les paquets ICMP :

root # iptables -t FILTER  -A (I) INPUT -p icmp -j DROP

INPUT
r5
r1
r2
r3
r4
Ensuite faire des ping

Table: FILTER, MANGLE


CHAINE: INPUT, OUTPUT, FORWARD, PREROUTING, and POSTROUTING. Une chaine
consiste en une liste de règles.
Protocole : icmp, tcp
Port : --sport –dport
Adresse : -s -d
Interface : -o -i
Cible : ACCEPT, DROP (sans accuse), REJECT (avec accuse), LOG, QUEUE, or
MASQUERADE.

PROCESSUS
 Chaque règle indique si l'en-tête du paquet ressemble à ceci, alors voici ce qu'il faut faire
avec le paquet.
 Si la règle ne correspond pas au paquet, la règle suivante de la chaîne est consultée.

root #iptables -F

Pour supprimer tout le trafic :


#Vous ne pourrez pas vous connecter n'importe où car tout le trafic est
abandonné
Deny all

Accepter

Accept all

Refuser

# iptables -P INPUT DROP


# iptables -P OUTPUT DROP
# iptables -P FORWARD DROP
# iptables -L -v -n
root #iptables -A INPUT -p icmp -j ACCEPT
root #iptables -A INPUT -p tcp –dport 80 -j ACCEPT

# iptables -P INPUT ACCEPT


# iptables -P OUTPUT ACCEPT
# iptables -P FORWARD ACCEPT
# iptables -L -v -n

IPTABLES POUR LES ATTAQUES

https://linoxide.com/block-common-attacks-iptables/
2. STATEFUL FILTERING
Accepter tout paquet provenant d'une connexion déjà établie ou liée dans la chaîne INPUT.
root #iptables -A INPUT -i eth0 -m state --state ESTABLISHED, RELATED -j ACCEPT

Supprimer tout paquet qui n'est pas dans la table d'état. Mais l’endroit est important (Avant
la précédente)

root #iptables -A INPUT -i eth0 -m state --state INVALID -j DROP

Module/Match Description Extended options


mac Extension correspondante --mac-source
pour l'adresse mac des
paquets entrants.
state Active l'inspection --state (states are ESTABLISHED, RELATED,
dynamique (stateful INVALID, NEW)
inspection)
limit Limitation de --limit, --limit-burst
l'appariement des tarifs
owner Tenter de faire --uid-owner userid --gid-owner groupid --
correspondre diverses pid-owner processid --sid-owner sessionid
caractéristiques du
créateur du paquet
unclean Divers contrôles Example
d'intégrité aléatoires sur
les paquets

3. PROXYING
optionnelle : accès direct à Internet 
obligatoire et explicite : le seul moyen d’accéder à Internet est alors de passer à travers le
proxy-cache, mais les utilisateurs doivent configurer manuellement leur navigateur (ou autre
application) pour utiliser ce proxy-cache ;
obligatoire et implicite : le seul moyen d’accéder à Internet est de passer à travers le
proxy-cache, mais les utilisateurs n’ont pas besoin de configurer leur navigateur, leur
connexion passe par le proxy-cache de manière transparente.

acl all src all # ACL pour autoriser/refuser tous les réseaux (Source = All) – ACL obligatoire
acl lan src 172.16.0.0/16 # ACL pour autoriser/refuser le réseau 172.16.0.0
acl Safe_ports port 80 # Port HTTP = Port 'sure'
acl Safe_ports port 443 # Port HTTPS = Port 'sure'
acl Safe_ports port 21 # Port FTP = Port 'sure'

# Désactiver tous les protocoles sauf les ports sures


http_access deny !Safe_ports

# Désactiver l'accès pour tous les réseaux sauf les clients de l'ACL Lan
# deny = refuser ; ! = sauf ; lan = nom de l’ACL à laquelle on fait référence.
http_access deny !lan

# Port utilisé par le Proxy :


# Le port indiqué ici, devra être celui qui est précisé dans votre navigateur.
http_port 3128

# Déclarer un fichier qui contient les domaines à bloquer


acl deny_domain url_regex -i "/etc/squid/denydomain.txt"

# Refuser les domaines déclarés dans le fichier définit dans l'ACL deny_domain
http_access deny deny_domain
#S’assurer que les requêtes du réseau local ne sortent pas avec des IPs privées

iptables -t nat -A POSTROUTING –s 172.16.0.0/16 -o eth1 -j MASQUERADE

#Rediriger les requêtes sur le port 80 vers le port 3128 du proxy

iptables -t nat -A PREROUTING -i eth0 -p tcp –dport 80 -j


REDIRECT –to-port 192.168.1.3 :3128

Exemple de proxy : Squid

https://webhostinggeeks.com/howto/how-to-restrict-web-access-by-time-using-
squid-proxy-server-on-centos-6-2/

Vous aimerez peut-être aussi