Linux IPCHAINS-HOWTO: Un exemple s�rieux

Page suivante Page pr�c�dente Table des mati�res

7. Un exemple s�rieux

Cet exemple est extrait du tutorial donn� par Michael Neuling et moi-m�me en mars 1999 lors du LinuxWorld ; ce n'est pas le seul moyen de r�gler le probl�me donn�, mais c'est probablement le plus simple. J'esp�re que vous le jugerez informatif.

7.1 L'arrangement

Un r�seau interne camoufl� (sous divers syst�mes d'exploitation), que nous appellerons "BON" ;
des serveurs expos�s dans un r�seau s�par� (nomm� "ZDM" pour Zone D�militaris�e) ;
une connexion PPP � l'Internet (nomm� "MAUVAIS").

 R�seau externe (MAUVAIS)
 |
 |
 ppp0|
 ---------------
 | 192.84.219.1|             R�seau des serveurs (ZDM)
 |             |eth0
 |             |----------------------------------------------
 |             |192.84.219.250 |             |              |
 |             |               |             |              |
 |192.168.1.250|               |             |              |
 ---------------          --------       -------        -------
 | eth1            | SMTP |       | DNS |        | WWW |
 |                 --------       -------        -------
 |              192.84.219.128  192.84.219.129  192.84.218.130
 |
 R�seau Interne (BON)

7.2 Buts

Sur la machine filtrant les paquets :

PING tout r�seau: Tr�s utile si la machine est hors-service.
TRACEROUTE tout r�seau: Une fois de plus, utile pour les diagnostics.
Acc�s au DNS: Pour rendre ping et DNS plus utile.

� l'int�rieur de la Zone D�militaris�e :

Serveur mail

SMTP vers l'ext�rieur
Accepte le SMTP de l'int�rieur et de l'ext�rieur
Accepte le POP3 de l'int�rieur

Serveur de nom

Envoi de requ�tes DNS vers l'ext�rieur
Accepte les requ�tes DNS de l'int�rieur, l'ext�rieur, et du filtre de paquets

Serveur web

Accepte les requ�tes HTTP de l'int�rieur et de l'ext�rieur
Acc�s rsync de l'int�rieur

En interne :

Autorise WWW, ftp, traceroute et ssh vers l'ext�rieur: Ce sont des services standards � autoriser : on autorise parfois les machines internes � tout faire, mais ici nous serons plus restrictifs.
Autorise le SMTP vers le serveur mail: Bien entendu, nous voulons qu'il leur soit possible d'envoyer du courrier vers l'ext�rieur.
Autorise le POP3 vers le serveur mail: C'est ainsi qu'ils lisent leur courrier.
Autorise les requ�tes DNS vers le serveur de nom: Ils doivent pouvoir rechercher des noms externes pour le web, le ftp, traceroute ou ssh.
Autorise rsync vers le serveur web: C'est ainsi qu'ils synchronisent le serveur web externe avec l'interne.
Autorise les requ�tes WWW vers le serveur web: Bien entendu, nous voulons qu'ils puissent se connecteur au serveur web externe.
Autorise le ping vers le filtre de paquets: Il est courtois de l'autoriser ; ils peuvent ainsi tester si le pare-feu est coup� (ainsi nous ne serons pas tenus responsables si un site ext�rieur est coup�).

7.3 Avant le filtrage des paquets

Protection anti-spoofing
Puisque nous n'avons pas de routage asym�trique, nous pouvons simplement mettre en marche l'anti-spoofing pour toutes les interfaces.
# for f in /proc/sys/net/ipv4/conf/*/rp_filter; do echo 1> $f; done #
Mettre en place des r�gles de filtrage en interdiction (DENY) totale :
Nous autorisons tout de m�me le traffic local, mais nous interdisons tout le reste.
# ipchains -A input -i ! lo -j DENY # ipchains -A output -i ! lo -j DENY # ipchains -A forward -j DENY #
Configurer les interfaces
Ceci est g�n�ralement r�alis� par les scripts de lancement. Fa�tes bien attention � ce que les r�gles ci-dessus soient ins�r�es avant que les interfaces ne soient configur�es, afin de pr�venir le passage de paquets avant l'insertion des r�gles.
Insertion des modules de camouflage par protocole
Nous devons ins�rer le module de camouflage du FTP, ainsi le ftp passif et actif fonctionnera `uniquement' du r�seau interne.
# insmod ip_masq_ftp #

7.4 Filtrage de paquets pour les paquets traversants

Avec le camouflage, il vaut mieux filtrer la cha�ne de retransmission.

Cassez la cha�ne de retransmission en plusieurs cha�nes utilisateurs d�pendant des interfaces sources/destination ; ceci ram�ne le probl�me � des probl�mes plus g�rables.

ipchains -N bon-zdm
ipchains -N mauvais-zdm
ipchains -N bon-mauvais
ipchains -N zdm-bon
ipchains -N zdm-mauvais
ipchains -N mauvais-bon

ACCEPTer les codes standards d'erreur ICMP est un fait classique, nous lui cr�ons donc une cha�ne.

ipchains -N icmp-acc

Configurer les sauts de la cha�ne de transmission

Malheureusement, nous connaissons seulement (dans la cha�ne de transmission) quelle est l'interface externe. Ainsi, pour se repr�senter de quelle interface vient le paquet, nous utilisons l'adresse source (l'anti-spoofing �vite les probl�mes li�s aux adresses).

Notez que nous enregistrons tout ce qui ne v�rifie aucune de ces r�gles (cependant, ceci ne devrait jamais arriver).

ipchains -A forward -s 192.168.1.0/24 -i eth0 -j bon-zdm
ipchains -A forward -s 192.168.1.0/24 -i ppp0 -j bon-mauvais
ipchains -A forward -s 192.84.219.0/24 -i ppp0 -j zdm-mauvais
ipchains -A forward -s 192.84.219.0/24 -i eth1 -j zdm-bon
ipchains -A forward -i eth0 -j mauvais-zdm
ipchains -A forward -i eth1 -j mauvais-bon
ipchains -A forward -j DENY -l

D�finir la cha�ne icmp-acc

Les paquets correspondant � l'une des erreurs ICMP sont accept�s, sinon le contr�le les rendra � la cha�ne appellante.

ipchains -A icmp-acc -p icmp --icmp-type destination-unreachable -j ACCEPT
ipchains -A icmp-acc -p icmp --icmp-type source-quench -j ACCEPT
ipchains -A icmp-acc -p icmp --icmp-type time-exceeded -j ACCEPT
ipchains -A icmp-acc -p icmp --icmp-type parameter-problem -j ACCEPT

Bon (interne) vers ZDM (serveurs)

Restrictions internes :

Autorise WWW, ftp, traceroute, ssh vers l'ext�rieur
Autorise le SMTP vers le serveur mail
Autorise le POP3 vers le serveur mail
Autorise les requ�tes DNS vers le serveur de nom
Autorise le rsync vers le serveur web
Autorise le WWW vers le serveur web
Autorise le ping vers le filtre de paquets

On pourrait utiliser le camouflage du r�seau interne vers la ZDM, mais ici nous ne le ferons pas. Puisque personne du r�seau interne ne devrait tenter de choses d�moniaques, nous enregistrons les paquets qui sont interdits.

ipchains -A bon-zdm -p tcp -d 192.84.219.128 smtp -j ACCEPT
ipchains -A bon-zdm -p tcp -d 192.84.219.128 pop-3 -j ACCEPT
ipchains -A bon-zdm -p udp -d 192.84.219.129 domain -j ACCEPT
ipchains -A bon-zdm -p tcp -d 192.84.219.129 domain -j ACCEPT
ipchains -A bon-zdm -p tcp -d 192.84.218.130 www -j ACCEPT
ipchains -A bon-zdm -p tcp -d 192.84.218.130 rsync -j ACCEPT
ipchains -A bon-zdm -p icmp -j icmp-acc
ipchains -A bon-zdm -j DENY -l

Mauvais (ext�rieur) vers ZDM (serveurs)

Restrictions de la ZDM :
- Serveur mail :
  - SMTP vers l'ext�rieur
  - Accepte le SMTP venant de l'int�rieur et ext�rieur
  - Accepte le POP3 de l'int�rieur
- Serveur de noms :
  - Envoi de requ�tes DNS vers l'ext�rieur
  - Accepte le DNS venant de l'int�rieur, ext�rieur et du filtre de paquets
- Serveur web :
  - Accepte les requ�tes HTTP venant de l'int�rieur et de l'ext�rieur
  - Acc�s rsync de l'int�rieur

Les trucs � autoriser du r�seau ext�rieur vers la ZDM

N'enregistre pas les violations, elles peuvent arriver.

ipchains -A mauvais-zdm -p tcp -d 192.84.219.128 smtp -j ACCEPT
ipchains -A mauvais-zdm -p udp -d 192.84.219.129 domain -j ACCEPT
ipchains -A mauvais-zdm -p tcp -d 192.84.219.129 domain -j ACCEPT
ipchains -A mauvais-zdm -p tcp -d 192.84.218.130 www -j ACCEPT
ipchains -A mauvais-zdm -p icmp -j icmp-acc
ipchains -A mauvais-zdm -j DENY

Bon (int�rieur) vers Mauvais (ext�rieur).

Restrictions internes :
- Autorise le WWW, ftp, traceroute, ssh vers l'ext�rieur
- Autorise SMTP vers le serveur mail
- Autorise POP-3 vers le serveur mail
- Autorise DNS vers le serveur de nom
- Autorise rsync vers le serveur web
- Autorise WWW vers le serveur web
- Autorise ping vers le filtre de paquets

Un grand nombre de gens autorisent tout venant de l'int�rieur vers les r�seaux ext�rieurs, puis ajoutent des restrictions. Nous sommes fascistes.

Enregistre les violations.
Le ftp passif est g�r� par le module de camouflage.

ipchains -A bon-mauvais -p tcp --dport www -j MASQ
ipchains -A bon-mauvais -p tcp --dport ssh -j MASQ
ipchains -A bon-mauvais -p udp --dport 33434:33500 -j MASQ
ipchains -A bon-mauvais -p tcp --dport ftp --j MASQ
ipchains -A bon-mauvais -p icmp --icmp-type ping -j MASQ
ipchains -A bon-mauvais -j REJECT -l

ZDM vers Bon (int�rieur)

Restrictions internes :
- Autorise WWW, ftp, traceroute, ssh vers l'ext�rieur
- Autorise SMTP vers le serveur mail
- Autorise POP3 vers le serveur mail
- Autorise DNS vers le serveur de noms
- Autorise rsync vers le serveur web
- Autorise WWW vers le serveur web
- Autorise ping vers le filtre de paquets

Si nous camouflions le r�seau int�rieur de la ZDM, nous refuserions simplement les paquets venant d'un autre moyen. Tel quel, il autorise uniquement les paquets qui peuvent provenir d'une connexion pr�-�tablie.

ipchains -A zdm-bon -p tcp ! -y -s 192.84.219.128 smtp -j ACCEPT
ipchains -A zdm-bon -p udp -s 192.84.219.129 domain -j ACCEPT
ipchains -A zdm-bon -p tcp ! -y -s 192.84.219.129 domain -j ACCEPT
ipchains -A zdm-bon -p tcp ! -y -s 192.84.218.130 www -j ACCEPT
ipchains -A zdm-bon -p tcp ! -y -s 192.84.218.130 rsync -j ACCEPT
ipchains -A zdm-bon -p icmp -j icmp-acc
ipchains -A zdm-mauvais -j DENY -l

ZDM vers Mauvais (ext�rieur)

Restrictions de la ZDM :
- Serveur mail
  - SMTP vers l'ext�rieur
  - Accepte SMTP venant de l'int�rieur et de l'ext�rieur
  - Accepte POP3 venant de l'int�rieur
- Serveur de noms
  - Envoi de requ�tes DNS vers l'ext�rieur
  - Accepte le DNS de l'int�rieur, l'ext�rieur et du filtre de paquets
- Serveur web
  - Accepte HTTP venant de l'int�rieur et de l'ext�rieur
  - Acc�s rsync de l'int�rieur

ipchains -A zdm-mauvais -p tcp -s 192.84.219.128 smtp -j ACCEPT
ipchains -A zdm-mauvais -p udp -s 192.84.219.129 domain -j ACCEPT
ipchains -A zdm-mauvais -p tcp -s 192.84.219.129 domain -j ACCEPT
ipchains -A zdm-mauvais -p tcp ! -y -s 192.84.218.130 www -j ACCEPT
ipchains -A zdm-mauvais -p icmp -j icmp-acc
ipchains -A zdm-mauvais -j DENY -l

Mauvais (ext�rieur) vers Bon (int�rieur)

Nous n'autorisons rien (de non camoufl�) � passer du r�seau ext�rieur vers le r�seau int�rieur.
ipchains -A mauvais-bon -j REJECT

Filtrage de paquets pour la machine Linux elle-m�me

Si nous d�sirons utiliser le filtrage de paquets sur les paquets arrivant sur la machine elle-m�me, nous devons filtrer la cha�ne d'entr�e. Nous cr�ons une cha�ne pour chaque interface de destination :
ipchains -N mauvais-if ipchains -N zdm-if ipchains -N bon-if

Cr�ons les sauts vers elles :

ipchains -A input -d 192.84.219.1 -j mauvais-if
ipchains -A input -d 192.84.219.250 -j zdm-if
ipchains -A input -d 192.168.1.250 -j bon-if

Interface Mauvais (ext�rieur)

Machine de filtrage des paquets :
- PING tous les r�seaux
- TRACEROUTE tous les r�seaux
- Acc�s DNS

L'interface ext�rieure re�oit aussi des r�ponses aux paquets camoufl�s, les erreurs ICMP leur correspondant et les r�ponses PING.

ipchains -A mauvais-if -i ! ppp0 -j DENY -l
ipchains -A mauvais-if -p TCP --dport 61000:65096 -j ACCEPT
ipchains -A mauvais-if -p UDP --dport 61000:65096 -j ACCEPT
ipchains -A mauvais-if -p ICMP --icmp-type pong -j ACCEPT
ipchains -A mauvais-if -j icmp-acc
ipchains -A mauvais-if -j DENY

Interface ZDM

Restrictions du filtre de paquets :
- PING tous les r�seaux
- TRACEROUTE tous les r�seaux
- Acc�s DNS

L'interface ZDM re�oit les r�ponses DNS, ping et les erreurs ICMP

ipchains -A zdm-if -i ! eth0 -j DENY
ipchains -A zdm-if -p TCP ! -y -s 192.84.219.129 53 -j ACCEPT
ipchains -A zdm-if -p UDP -s 192.84.219.129 53 -j ACCEPT
ipchains -A zdm-if -p ICMP --icmp-type pong -j ACCEPT
ipchains -A zdm-if -j icmp-acc
ipchains -A zdm-if -j DENY -l

Interface Bon (int�rieur)

Restrictions du filtre de paquets
- PING tous les r�seaux
- TRACEROUTE tous les r�seaux
- Acc�s DNS
Restrictions int�rieures :
- Autorise WWW, ftp, traceroute, ssh vers l'ext�rieur
- Autorise SMTP vers le serveur mail
- Autorise POP3 vers le serveur mail
- Autorise DNS vers le serveur de noms
- Autorise rsync vers le serveur web
- Autorise WWW vers le serveur web
- Autorise ping vers le filtre de paquets

L'interface int�rieure re�oit les pings, les r�ponses ping et les erreurs ICMP.

ipchains -A bon-if -i ! eth1 -j DENY
ipchains -A bon-if -p ICMP --icmp-type ping -j ACCEPT
ipchains -A bon-if -p ICMP --icmp-type pong -j ACCEPT
ipchains -A bon-if -j icmp-acc
ipchains -A bon-if -j DENY -l

7.5 Finalement

Supprime les r�gles de bloquage :

ipchains -D input 1
ipchains -D forward 1
ipchains -D output 1

Page suivante Page pr�c�dente Table des mati�res

Hosting by: Hurra Communications GmbH
Generated: 2007-01-26 18:01:35