Modifié : sisr1/tp08/TP08_evo_infra.odt

Modifié :         sisr1/tp08/TP08_evo_infra.pdf
	Modifié :         sisr1/tp08/firewall_regles.txt

sisr1/tp08/firewall_regles.txt

@@ -13,7 +13,7 @@ define firewall-net = 192.168.0.120
 define firewall-lan = 172.16.0.254
 define firewall-dmz = 172.17.0.254
 
-# Définition des choses importantes
+# Définition des choses importantes - Vérifier comment les commentaires en fin de ligne fonctionnent
 define proxy-dns = 172.17.0.1 # IP de srv-dmz
 define dns-school = {10.121.38.7 , 10.121.38.8} # Serveurs DNS du lycée
 define portproxy = 1080 # Port utilisé par le proxy qu'on va configurer
@@ -41,6 +41,18 @@ table ip ipfilter{
 		#Accepte les réponses ping pour l'étape 4
 		icmp type echo-reply accept
 
+		#Autorise les requêtes HTTP/HTTPS venant de la LAN - A vérifier
+                tcp dport {$portproxy} ip saddr $lan-ntw ip daddr $proxy-dns accept
+
+		#Autorise les requêtes DNS venant de la LAN - A vérifier
+		udp dport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept
+		udp sport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept
+
+		#Autorise les réponses DNS allant vers la LAN (étape 5) - A vérifier, expérimental
+		udp dport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept
+		udp sport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept
+
+
         }
 
 	chain system_in {
@@ -61,6 +73,18 @@ table ip ipfilter{
 		#Accepte les réponses ping pour l'étape 4
 		icmp type echo-reply accept
 
+		#Autorise les requêtes HTTP/HTTPS venant de la LAN (étape 5) - A vérifier
+                tcp dport {$portproxy} ip saddr $lan-ntw ip daddr $proxy-dns accept
+
+		#Autorise les requêtes DNS venant de la LAN (étape 5) - A vérifier
+		udp dport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept
+		udp sport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept
+
+		#Autorise les réponses DNS allant vers la LAN (étape 5) - A vérifier, expérimental
+		udp dport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept
+		udp sport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept
+
+
         }
 
  	chain routing {
@@ -75,17 +99,39 @@ table ip ipfilter{
 		#Accepte les requêtes de ping si elles viennent du LAN, à destination de la DMZ, étape 4
         	icmp type echo-request iif {$lanif} oif {$dmzif} accept
 
+		#Autorise les requêtes HTTP/HTTPS venant de la LAN (étape 5) - A vérifier
+		tcp dport {$portproxy} ip saddr $lan-ntw ip daddr $proxy-dns accept
+
+		#Autorise les requêtes DNS venant de la LAN (étape 5) - A vérifier
+		udp dport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept
+		udp sport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept
+
+		#Autorise les réponses DNS allant vers la LAN (étape 5) - A vérifier, expérimental
+		udp dport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept
+		udp sport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept
+
 	}
 
  	chain system_out {
                 type filter hook output priority filter; policy drop;
 
-		#Autorise le SSH à destination de srv-dmz et srv-service si la requête vient du firewall, étape 3
+		#Autorise le SSH à destination de srv-dmz et srv-service si la requête vient du firewall, étape 3 - A vérifier
 		tcp sport 22 ip saddr {$firewall-dmz, $firewall-lan} ip daddr {$proxy-dns, $dhcp} accept
 
-		#Autorise le pare-feu à faire des pings vers toutes les machines, étape 4
+		#Autorise le pare-feu à faire des pings vers toutes les machines, étape 4 - A vérifier
 		icmp type echo-request ip saddr {$firewall-net, $firewall-lan, $firewall-dmz} accept
 
+		#Autorise les requêtes HTTP/HTTPS venant de la LAN (étape 5) - A vérifier
+		tcp dport {$portproxy} ip saddr $lan-ntw ip daddr $proxy-dns accept
+
+		#Autorise les requêtes DNS venant de la LAN (étape 5) - A vérifier
+		udp dport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept
+		udp sport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept
+
+		#Autorise les réponses DNS allant vers la LAN (étape 5) - A vérifier, expérimental
+		udp dport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept
+		udp sport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept
+
         }
 
 	chain postrouting {
@@ -97,13 +143,24 @@ table ip ipfilter{
 		#Refuse les paquets sans états/qui viennent d'une connexion inconnue
 		ct state invalid, untracked drop
 
-		#Autorise le SSH à destination de srv-dmz et srv-service si la requête vient du firewall, étape 3
+		#Autorise le SSH à destination de srv-dmz et srv-service si la requête vient du firewall, étape 3 - A vérifier
 		tcp sport 22 ip saddr {$firewall-dmz, $firewall-lan} ip daddr {$proxy-dns, $dhcp} accept
 
 		#Accepte les requêtes de ping si elles viennent du LAN, à destination de la DMZ, étape 4
         	icmp type echo-request iif {$lanif} oif {$dmzif} accept
 
-		#Autorise le pare-feu à faire des pings vers toutes les machines, étape 4
+		#Autorise le pare-feu à faire des pings vers toutes les machines, étape 4 - A vérifier
 		icmp type echo-request ip saddr {$firewall-net, $firewall-lan, $firewall-dmz} accept
 
+		#Autorise les requêtes HTTP/HTTPS venant de la LAN (étape 5) - A vérifier
+		tcp dport {$portproxy} ip saddr $lan-ntw ip daddr $proxy-dns accept
+
+		#Autorise les requêtes DNS venant de la LAN (étape 5) - A vérifier
+		udp dport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept
+		udp sport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept
+
+		#Autorise les réponses DNS allant vers la LAN (étape 5) - A vérifier, expérimental
+		udp dport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept
+		udp sport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept
+
 	}