wiki:InsiaAdminSysTp3_1

Sommaire

TP1 - Firewalling LAN+DMZ

Note Debian: vérifiez que vous manipulez les bonnes interfaces en consultant leur adresse matérielle (MAC). Vous pouvez changer l'assignation des noms (eth0, eth1...) en éditant le fichier /etc/udev/rules.d/z25_persistent-net.rules.

Configuration simple LAN/WAN

Nous allons configurer un firewall sur une machine sous Debian GNU/Linux. Il vous faut d'abord identifier les interfaces de cette machine et les nommer pour simplifier vos scripts par la suite. Par exemple, écrivez dans un fichier firewall.sh:

#!/bin/sh

IF_LAN=eth0
IF_WAN=eth1
#IF_DMZ=...

# Politique par défaut: rejet total!
iptables -P FORWARD REJECT

# Effacement de toutes les règles pré-existantes
iptables -F FORWARD

# Mes règles
iptables -A FORWARD -i $IF_LAN -o $IF_WAN -p tcp --dport http -j ACCEPT
...

# Afficher le résultat (filtres + NAT)
iptables -nvL FORWARD
iptables -t nat -nvL

N'oubliez pas d'activer le routage (packet forwarding), et de faire en sorte qu'il soit activé au prochain boot de votre machine (cf. cours).

Ensuite établissez les règles pour:

  • autoriser le traffic sortant (LAN->WAN) concernant le web
  • autoriser le traffic sortant (LAN->WAN) concernant le DNS
  • que votre filtre gère les états des connexions

Configuration DMZ

La DMZ utilise en général un sous-réseau avec un adressage local (10.0, 192.168, etc) différent de celui du LAN. Les règles:

  • LAN et WAN peuvent se connecter sur les équipements de la DMZ
  • la DMZ ne peut pas se connecter sur le LAN

(Définition de la DMZ à préciser par vos soins, par exemple publiez votre serveur SMTP)

Proposition de correction: source:/insia/unix/tp1/firewall.sh

Last modified 13 years ago Last modified on Mar 4, 2007, 11:49:12 PM