Chapter 63. Application sur le routage et le filtrage de paquets IP

Revision History
Revision 0.110 Octobre 2004

Table of Contents

Introduction
Fonctions de filtrage
TD
Schéma de la maquette pour le TP
Première partie : installation et configuration du routage
Règles de filtrage simples
Règles de filtrage par adresse, port et protocoles

Abstract

L'objectif est de configurer une machine sous Linux, munie de trois cartes réseau 10/100 Base T, pour en faire un firewall. Voir schéma réseau et maquette. Le TP est réalisable avec Ipchains ou Iptables.

Introduction

L'objectif est de configurer une machine sous Linux, munie de trois cartes réseau 10/100 Base T, pour en faire un firewall. Pour visualiser les trames qui sont échangées sur le réseau, vous utiliserez un outil d'analyse de trames comme tcpdump, ethereal ou autre. Enfin pour filtrer le trafic et faire de la translation de port (PAT) la fonctionnalité ipchains du noyau Linux sera utilisée. Un outil comme iptraf est intéressant pour visualiser la translation de port sur le routeur.

Le rôle d'un routeur (ou passerelle/gateway en terminologie IP) est de "router" les paquets entrants par une interface, vers une de ses interfaces de sortie, en fonction de l'adresse IP du destinataire (en fait du réseau auquel il appartient).

Le routeur dispose d'une table de routage interne, visible avec la commande route.

Exemple de table de routage :

Destination     Passerelle      Genmask         Indic Metric Ref    Use Iface
192.168.0.0     *               255.255.255.0   U     0      0        0 eth0
172.16.0.0      *               255.255.0.0     U     0      0        0 eth1
10.0.0.0        *               255.0.0.0       U     0      0        0 eth2
127.0.0.0       *               255.0.0.0       U     0      0        0 lo
default         192.168.0.254   0.0.0.0         UG    0      0        0 eth0

Le noyau Linux sait router les paquets entre différentes interfaces et vers des réseaux. Il faut que la fonction "ip forwarding" soit activée. Cela est faisable soit dynamiquement :

echo 0/1 > /proc/sys/net/ipv4/ip_forward

soit en modifiant un fichier de configuration.

/etc/network/options sur debian
/etc/sysconfig/network sur mandrake