Debian filtrage
Par Ninoka • 2 Novembre 2017 • 1 405 Mots (6 Pages) • 489 Vues
...
6. Règle : la DMZ parle vers le WAN
Quand le serveur web aura besoin d’aller sur internet il pourra envoyer des paquets sur ce dernier, ce qui n’était pas possible auparavant.
Commande :
Iptables –A FORWARD –i eth2 –o eth1 –j ACCEPT Accepter les trames en sortie du DMZ en direction du WAN (internet)
Test : Réaliser un ping vers internet depuis le serveur web dans la DMZ.
Commande de test :
Ping free.fr Test un ping vers les serveurs de free.fr
7. Règle : Autoriser les trames du WAN vers le Serveur WEB
Quand le serveur web envoie des paquets il faut que le destinataire lui réponde, c’est pour cela qu’il est important que ce paramètre soit ajouté au script.
Commande :
Iptables –A FORWARD –i eth1 –o eth2 –d 192.168.2.150 –p tcp - -dport 80 –j ACCEPT
Autoriser les trames traversant du WAN vers la DMZ ayant comme port 80 pour aller en direction du serveur web.
8. Règle : Autoriser l’accès au serveur DNS depuis le serveur WEB
Cela permettra au serveur web de pouvoir bénéficier de la résolution de noms proposée par le serveur 2012.
Commande :
Iptables –t filter –A FORWARD –i eth2 –o eth0 –d 192.168.1.150 –p udp - -dport 53 –j ACCEPT
Filtrer et accepter toutes les trames traversant de la DMZ vers le LAN ayant comme port 53 via le protocole UDP ayant pour destination le serveur 2012 pour une résolution de nom (DNS).
Ensuite il faut bien sûr ajouter le serveur DNS dans la configuration IP de votre poste Debian (Voir documentation : configuration IP d’un poste Debian)
Une fois que tout cela est fait il faut savoir si le serveur DNS a bien accroché à votre serveur web.
Commande de test :
nslookup En tapant cela, votre écran va afficher via quel serveur Debian passe. Dans mon cas il s’agit d’office.local (nom du serveur 2012).
9. Règle : Autoriser l’accès en consultation au serveur web depuis l’extérieur
Cela consiste à rediriger les trames adressées à l’IP publique du réseau vers le serveur web. Cela permettra à l’avenir d’avoir accès à la page web du serveur web depuis l’extérieur.
Commande :
Iptables –t nat –A PREROUTING –i eth1 –p tcp - -dport 80 –j DNAT - -to-destination 192.168.2.150
Accorder l’adresse IP publique du routeur Uranus pour un accès externe à la page publique du serveur WEB. L’accès se fera comme cela (http://XX.XX.XX.XX:80)
Test : se rendre sur une machine à l’extérieur du groupement de réseau et entrer dans la barre d’adresse l’adresse IP de la broche eth1 (comprendre adresse IP publique). Et vous devriez voir la page par défaut de votre serveur web (apache /var/www/index.html).
It works!
This is the default web page for this server.
The web server software is running but no content has been added, yet.
VI - CREATION D’UN SCRIPT :
Toutes les lignes que nous avons rentré dans la partie V sont éphémères, c’est-à-dire qu’après un redémarrage de votre routeur Debian elles ne prennent plus effet, il est donc préférable de les exécuter à chaque démarrage de votre système. Pour ce faire il faut créer un script dans la partie démarrage de Debian. Je vais vous montrer cela en quelques étapes.
Etape 1 : Création du fichier script de filtrage
Commandes à rentrer dans le terminal :
Mkdir /root/scripts Créer un dossier « scripts »
Nano /root/scripts/scripts_filtrage Création du fichier « script_filtrage »
Etape 2 : rendre le fichier note en un script
Sur Windows la création d’un script se passe par le biais de la surcouche « bloc-notes » et après on le sauvegarde au format « .bat ». Sur linux c’est formellement la même chose sauf que bloc-notes se surnomme « nano » nous sommes à l’intérieur à présent, il suffit d’y ajouter une première ligne qui définira le type de fichier, dans notre cas nous voulons un script (donc il s’agit d’un « .sh »).
A insérer au début du script :
# !/bin/sh ce fichier texte deviendra un script
Etape 3 : insertion de lignes présentées dans la partie V
(PS : les « # » représentent les lignes de commentaires, elles ne sont pas obligatoires mais vous aide à comprendre votre script)
# supprimer le filtrage
iptables -F
# politique par defaut: on bloque tout sauf output
iptables -P FORWARD DROP
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
# trafic etabli autorise
iptables -A FORWARD -m state --state ESTABLISHED -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED -j ACCEPT
# le LAN parle vers la DMZ et le LAN parle vers le WAN
iptables -A FORWARD -i eth0 -j ACCEPT
# le LAN parle au routeur
iptables -A INPUT -i eth0 -j ACCEPT
# la DMZ parle vers le WAN
iptables -A FORWARD -i eth2 -o eth1 -j ACCEPT
#
...