Administration réseau sous Linux/TP Netfilter

TP Global

TP Licence - Configuration réseau

Administration réseau sous Linux

• Configuration réseau
• NFS
• Samba
• Apache
• ProFTPD
• DHCP
• Netfilter
• TCP Wrapper
• Tcpdump
• SSH
• Routage
• TP VDN
• TP Configuration réseau
• TP NFS
• TP Samba
• TP Apache
• TP FTP
• TP TCP Wrapper
• TP Tcpdump
• TP SSH
• TP DHCP
• TP Global
• TP Netfilter
• TP Licence - Configuration réseau
• TP Licence - Deux sites web derrière un firewall
• TP Licence - Serveur intranet

---

Version imprimable

[ Modifier le sommaire ]

TP Global

TP Licence - Configuration réseau

Préalable[modifier | modifier le wikicode]

• tiny et bigboss doivent être lancés (voir TP VDN)
• le réseau de bigboss doit être configuré (lancez ~reseaux/vdn-0.6/scripts/bigbossBaseConfig si ce n'est pas déjà fait)
• le réseau de tiny doit être configuré (voir TP Configuration réseau)
• Apache doit être configuré

Introduction[modifier | modifier le wikicode]

• Lire le wikilivre sur Netfilter
• Afficher les règles contenues dans les chaînes INPUT, OUTPUT et FORWARD sur bigboss. Il ne devrait y en avoir aucune.
• créez des scripts pour écrire vos règles voir ici.
• Attention l'interface eth1, utilisée par les systèmes virtuels ne doit pas être bloquée !

LOG[modifier | modifier le wikicode]

• Ajoutez sur bigboss (de préférence grâce à un script) une règle dans la chaîne INPUT qui enverra sur la cible LOG toutes les trames ICMP reçues.
• Affichez les règles de cette chaîne et vérifier que celle ajoutée apparaît.
• Lancer un ping de tiny vers bigboss
• Vérifiez que les paquets sont affichés. S'ils ne le sont pas, ouvrir un terminal sur bigboss et lancer la commande tail -f /var/log/kern.log
• Faites un ping de bigboss vers une adresse IP inconnue (par exemple 1.2.3.4) et constatez le résultat.

Politique de blocage par défaut[modifier | modifier le wikicode]

• Lancez le serveur Web et vérifiez qu'il fonctionne.
• Créez un script, pour tout interdire.

ATTENTION: L’INTERFACE ETH1 NE DOIT PAS ÊTRE BLOQUÉE : si vous utilisez une police par défaut il faut ensuite re-autoriser eth1. Le plus simple est peut être d'interdire l'accès pour eth0 (2 règles). À vous de voir.

• Lancez votre script et vérifiez que le serveur Web n'est plus joignable.

Autorisation d'accès[modifier | modifier le wikicode]

• Ajouter les règles autorisant l'accès au serveur telnet sur bigboss et testez à partir de tiny (commande telnet).
• Ajoutez les règles permettant l'accès au serveur Web de bigboss à partir de tiny.
• Quels sont les adresses IP et les ports autorisés en source ? en destination ?
• Vérifier que le serveur Web est de nouveau joignable.
• Faites de même avec l'autorisation d'accès à la commande ping. Et seulement ping pas pour tout ICMP. (il faut utiliser l'option --icmp-type avec echo-request ou echo-reply).