Schéma de la maquette pour le TP

Schéma d'un réseau simple. Le routeur a trois interfaces réseau. Les segments de classe A et le segment de classe B peuvent être réalisés à l'aide de simple machines et de câbles croisés.

Figure 63.2. Réseau simple

Réseau simple

Schéma d'un réseau simple plus complexe. Quatre maquettes construites sur le schéma précédent sont reliées à un segment fédérateur. Ce dernier peut être le réseau de l'établissement.

Figure 63.3. Réseau intégré

Réseau intégré

Vous allez réaliser ce TP sur la maquette que vous avez monté pour le routage. Vous utiliserez trois machines C, R et S. R fait référence à votre routeur. C fait référence au client installé sur le réseau de classe B, S fait référence au serveur installé sur le réseau de classe A.

C est sur un réseau "privé" (C sera client pour les tests)

S est sur un réseau "public"

R servira de routeur et pare-feu (firewall) entre votre réseau privé et le réseau public.

Vous allez réaliser ce TP en trois parties :

  1. Première partie : vérification du routage sur le routeur logiciel R,

  2. Deuxième partie : mise en oeuvre de règles de filtrage simples et de la tranduction d'adresse sur R

  3. Troisième partie : mise en place de règles de filtrage par adresse, par port et par protocole.

Vous utiliserez la documentation de ipchains ou iptables ainsi que les exemples commentés qui vous sont fournis.

Première partie : installation et configuration du routage

  1. Installez les interfaces réseau sur le routeur et démarrer la machine.

  2. Créez les fichiers de configuration des interfaces eth0, eth1 et eth2.

  3. Installez le module de la carte dans le fichier " /etc/module.conf " si nécessaire

  4. Lancez le service réseau sur R " /etc/rc.d/init.d/network restart ", relevez les routes.

  5. Vérifiez à l'aide de la commande " ifconfig " que les interfaces sont bien actives. Corrigez tant que ce n'est pas le cas. Configurez et installez C sur votre réseau privé,

  6. Testez l'accès de C vers les deux interfaces de R. Pourquoi l'accès vers le réseau public ne fonctionne pas ?

  7. Activez le routage (ip forward) entre les interfaces réseau. (NETWORKING=yes dans /etc/sysconfig/network pour Mandrake ou ip_forward=yes dans /etc/network/options pour Debian.

    Vous pouvez également utiliser la commande :

    echo 1 > /proc/sys/net/ipv4/ip_forward

    Relancez le service réseau, relevez les routes de R à l'aide de la commande " route ".

  8. Vérifiez avec une commande " ping " que les deux interfaces de R sont bien visibles à partir de C.

  9. Vérifiez l'installation du programme iptraf sur R

Règles de filtrage simples

  1. Interdisez toutes les requêtes de C vers S (extérieur) (tester)

  2. Autorisez toutes les requêtes du client C vers S (tester)

  3. Interdisez tout passage sur la chaîne FORWARD en laissant l'option " ACCEPT " sur les chaînes INPUT et OUTPUT (tester)

  4. Activez le masquage d'adresse pour toutes les machines du réseau auquel appartient C vers tous les autres réseaux (tester)

  5. Activez le masquage d'adresse pour toutes les machines du réseau auquel appartient C vers un seul des autres réseaux. Exemple si vous êtes sur le domaine vert.org, activer le masquage vers bleu.org. Les paquets ne devront pas passer vers noir.org ou rouge.org. (tester)

  6. Restaurez l'état réalisé au point 4 (après masquage). Activez " iptraf " sur l'interface publique. Vérifiez que seule, l'adresse ip de l'interface du réseau privé apparaît et que toutes les autres sont " masquées ". Notez la traduction de port et identifiez les sessions.

Règles de filtrage par adresse, port et protocoles

  1. Relevez dans le fichier " /etc/protocol " et " /etc/services " les ports et noms des protocoles utilisés par les services ftp et http. Refusez tout trafic de C vers l'extérieur à destination de ces ports. Vérifier que telnet est accepté. (tester puis restaurer)

  2. N'autorisez à C l'accès qu'à une seule machine (par exemple le client C de rouge.org si vous êtes sur vert.org), refusez tout le reste. (tester puis restaurer)

  3. Refusez tout accès à la machine (192.168.x.1) de votre réseau (192.168.x.0) vers le réseau (192.168.y.0). (tester.) (tester aussi en modifiant l'adresse ip de votre client que celui-ci passe.)

  4. Relevez les ports et protocoles utilisés par les services de résolution de noms Construisez les règles afin qu'elles répondent au problème suivant. On désire que : toutes les machines du réseau privé puissent avoir accès à tous les autres services de n'importe quel réseau, la machine C de votre réseau privé ne peut pas envoyer de requête UDP/DOMAIN vers la machine S.

    (tester pour les requêtes sur le serveur de noms puis pour des requêtes sur le serveur ftp en utilisant l'adresse IP)

  5. Pour les deux traitements qui suivent, vous utiliserez deux écritures, dont l'opérateur " ! " (not) qui permet d'obtenir des compléments.

    Autorisez toutes les requêtes qui sortent vers l'extérieur, sauf celles qui vont sur un port ftp

    N'autorisez aucune requête hormis celles qui sont à destination du port 80