TP1 - Firewalling LAN+DMZ
Note Debian: vérifiez que vous manipulez les bonnes interfaces en consultant leur adresse matérielle (MAC). Vous pouvez changer l'assignation des noms (eth0, eth1...) en éditant le fichier /etc/udev/rules.d/z25_persistent-net.rules.
Configuration simple LAN/WAN
Nous allons configurer un firewall sur une machine sous Debian GNU/Linux. Il vous faut d'abord identifier les interfaces de cette machine et les nommer pour simplifier vos scripts par la suite. Par exemple, écrivez dans un fichier firewall.sh:
#!/bin/sh IF_LAN=eth0 IF_WAN=eth1 #IF_DMZ=... # Politique par défaut: rejet total! iptables -P FORWARD REJECT # Effacement de toutes les règles pré-existantes iptables -F FORWARD # Mes règles iptables -A FORWARD -i $IF_LAN -o $IF_WAN -p tcp --dport http -j ACCEPT ... # Afficher le résultat (filtres + NAT) iptables -nvL FORWARD iptables -t nat -nvL
N'oubliez pas d'activer le routage (packet forwarding), et de faire en sorte qu'il soit activé au prochain boot de votre machine (cf. cours).
Ensuite établissez les règles pour:
- autoriser le traffic sortant (LAN->WAN) concernant le web
- autoriser le traffic sortant (LAN->WAN) concernant le DNS
- que votre filtre gère les états des connexions
Configuration DMZ
La DMZ utilise en général un sous-réseau avec un adressage local (10.0, 192.168, etc) différent de celui du LAN. Les règles:
- LAN et WAN peuvent se connecter sur les équipements de la DMZ
- la DMZ ne peut pas se connecter sur le LAN
(Définition de la DMZ à préciser par vos soins, par exemple publiez votre serveur SMTP)
Proposition de correction: source:/insia/unix/tp1/firewall.sh
