diff --git a/sisr1/tp08/TP08_evo_infra.odt b/sisr1/tp08/TP08_evo_infra.odt index 6017e25..c6452b3 100755 Binary files a/sisr1/tp08/TP08_evo_infra.odt and b/sisr1/tp08/TP08_evo_infra.odt differ diff --git a/sisr1/tp08/TP08_evo_infra.pdf b/sisr1/tp08/TP08_evo_infra.pdf index d3fe577..0b4c04d 100644 Binary files a/sisr1/tp08/TP08_evo_infra.pdf and b/sisr1/tp08/TP08_evo_infra.pdf differ diff --git a/sisr1/tp08/firewall_regles.txt b/sisr1/tp08/firewall_regles.txt index 4502720..8bc85e0 100644 --- a/sisr1/tp08/firewall_regles.txt +++ b/sisr1/tp08/firewall_regles.txt @@ -13,7 +13,7 @@ define firewall-net = 192.168.0.120 define firewall-lan = 172.16.0.254 define firewall-dmz = 172.17.0.254 -# Définition des choses importantes +# Définition des choses importantes - Vérifier comment les commentaires en fin de ligne fonctionnent define proxy-dns = 172.17.0.1 # IP de srv-dmz define dns-school = {10.121.38.7 , 10.121.38.8} # Serveurs DNS du lycée define portproxy = 1080 # Port utilisé par le proxy qu'on va configurer @@ -41,6 +41,18 @@ table ip ipfilter{ #Accepte les réponses ping pour l'étape 4 icmp type echo-reply accept + #Autorise les requêtes HTTP/HTTPS venant de la LAN - A vérifier + tcp dport {$portproxy} ip saddr $lan-ntw ip daddr $proxy-dns accept + + #Autorise les requêtes DNS venant de la LAN - A vérifier + udp dport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept + udp sport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept + + #Autorise les réponses DNS allant vers la LAN (étape 5) - A vérifier, expérimental + udp dport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept + udp sport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept + + } chain system_in { @@ -61,6 +73,18 @@ table ip ipfilter{ #Accepte les réponses ping pour l'étape 4 icmp type echo-reply accept + #Autorise les requêtes HTTP/HTTPS venant de la LAN (étape 5) - A vérifier + tcp dport {$portproxy} ip saddr $lan-ntw ip daddr $proxy-dns accept + + #Autorise les requêtes DNS venant de la LAN (étape 5) - A vérifier + udp dport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept + udp sport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept + + #Autorise les réponses DNS allant vers la LAN (étape 5) - A vérifier, expérimental + udp dport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept + udp sport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept + + } chain routing { @@ -75,17 +99,39 @@ table ip ipfilter{ #Accepte les requêtes de ping si elles viennent du LAN, à destination de la DMZ, étape 4 icmp type echo-request iif {$lanif} oif {$dmzif} accept + #Autorise les requêtes HTTP/HTTPS venant de la LAN (étape 5) - A vérifier + tcp dport {$portproxy} ip saddr $lan-ntw ip daddr $proxy-dns accept + + #Autorise les requêtes DNS venant de la LAN (étape 5) - A vérifier + udp dport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept + udp sport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept + + #Autorise les réponses DNS allant vers la LAN (étape 5) - A vérifier, expérimental + udp dport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept + udp sport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept + } chain system_out { type filter hook output priority filter; policy drop; - #Autorise le SSH à destination de srv-dmz et srv-service si la requête vient du firewall, étape 3 + #Autorise le SSH à destination de srv-dmz et srv-service si la requête vient du firewall, étape 3 - A vérifier tcp sport 22 ip saddr {$firewall-dmz, $firewall-lan} ip daddr {$proxy-dns, $dhcp} accept - #Autorise le pare-feu à faire des pings vers toutes les machines, étape 4 + #Autorise le pare-feu à faire des pings vers toutes les machines, étape 4 - A vérifier icmp type echo-request ip saddr {$firewall-net, $firewall-lan, $firewall-dmz} accept + #Autorise les requêtes HTTP/HTTPS venant de la LAN (étape 5) - A vérifier + tcp dport {$portproxy} ip saddr $lan-ntw ip daddr $proxy-dns accept + + #Autorise les requêtes DNS venant de la LAN (étape 5) - A vérifier + udp dport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept + udp sport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept + + #Autorise les réponses DNS allant vers la LAN (étape 5) - A vérifier, expérimental + udp dport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept + udp sport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept + } chain postrouting { @@ -97,13 +143,24 @@ table ip ipfilter{ #Refuse les paquets sans états/qui viennent d'une connexion inconnue ct state invalid, untracked drop - #Autorise le SSH à destination de srv-dmz et srv-service si la requête vient du firewall, étape 3 + #Autorise le SSH à destination de srv-dmz et srv-service si la requête vient du firewall, étape 3 - A vérifier tcp sport 22 ip saddr {$firewall-dmz, $firewall-lan} ip daddr {$proxy-dns, $dhcp} accept #Accepte les requêtes de ping si elles viennent du LAN, à destination de la DMZ, étape 4 icmp type echo-request iif {$lanif} oif {$dmzif} accept - #Autorise le pare-feu à faire des pings vers toutes les machines, étape 4 + #Autorise le pare-feu à faire des pings vers toutes les machines, étape 4 - A vérifier icmp type echo-request ip saddr {$firewall-net, $firewall-lan, $firewall-dmz} accept + #Autorise les requêtes HTTP/HTTPS venant de la LAN (étape 5) - A vérifier + tcp dport {$portproxy} ip saddr $lan-ntw ip daddr $proxy-dns accept + + #Autorise les requêtes DNS venant de la LAN (étape 5) - A vérifier + udp dport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept + udp sport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept + + #Autorise les réponses DNS allant vers la LAN (étape 5) - A vérifier, expérimental + udp dport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept + udp sport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept + }