guillaume.emorine/siotp
guillaume.emorine/siotp
2
1
Fork 1
Code Pull Requests Actions Packages Projects Releases 4 Activity

Merge pull request 'Modifié : sisr1/tp08_evolution_infrastructure/rules_progressive/firewall_7' (#20) from test into main

Browse Source 
Reviewed-on: #20
This commit is contained in:
guillaume.emorine 2024-05-02 14:03:55 +02:00
commit f782d46c71
6 changed files with 188 additions and 187 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

30
sisr1/tp08_evolution_infrastructure/rules_progressive/firewall_1-2
View File

@ -1,12 +1,12 @@
# Définition des interfaces avec un nom
define netif = enp0s3
define dmzif = enp0s8
define lanif = enp0s9
define netif = enp0s3 # Interface avec accès internet extérieur
define dmzif = enp0s8 # Interface branchée à la DMZ
define lanif = enp0s9 # Interface branchée au LAN
# Définition des réseaux
define dmz-ntw = 172.17.0.0/24
define lan-ntw = 172.16.0.0/24
define net-ntw = 192.168.0.0/24
define dmz-ntw = 172.17.0.0/24 # Plage réseau de la DMZ
define lan-ntw = 172.16.0.0/24 # Plage réseau du LAN
define net-ntw = 192.168.0.0/24 # Plage réseau, accès internet
# Définition des IPs du pare-feu
define firewall-net = 192.168.0.120
@ -29,10 +29,10 @@ table ip ipfilter {
chain prerouting {
type filter hook prerouting priority filter; policy drop;
#Permet le passage des réponses aux requêtes acceptées
# Permet le passage des réponses aux requêtes acceptées
ct state established, related accept
#Autorise le SSH, étape 2
# Autorise le SSH, étape 2
tcp dport 22 iif $firewall-net accept
}
@ -40,23 +40,23 @@ table ip ipfilter {
chain system_in {
type filter hook input priority filter; policy drop;
#Permet le passage des réponses aux requêtes acceptées
# Permet le passage des réponses aux requêtes acceptées
ct state established, related accept
#Refuse les paquets sans états/qui viennent d'une connexion inconnue
# Refuse les paquets sans états/qui viennent d'une connexion inconnue
ct state invalid, untracked drop
#Autorise le SSH, étape 2
# Autorise le SSH, étape 2
tcp dport 22 iif $firewall-net accept
}
chain routing {
type filter hook forward priority filter; policy drop;
#Permet le passage des réponses aux requêtes acceptées
# Permet le passage des réponses aux requêtes acceptées
ct state established, related accept
#Refuse les paquets sans états/qui viennent d'une connexion inconnue
# Refuse les paquets sans états/qui viennent d'une connexion inconnue
ct state invalid, untracked drop
}
@ -67,10 +67,10 @@ table ip ipfilter {
chain postrouting {
type filter hook postrouting priority filter; policy drop;
#Permet le passage des réponses aux requêtes acceptées
# Permet le passage des réponses aux requêtes acceptées
ct state established, related accept
#Refuse les paquets sans états/qui viennent d'une connexion inconnue
# Refuse les paquets sans états/qui viennent d'une connexion inconnue
ct state invalid, untracked drop
}
}

34
sisr1/tp08_evolution_infrastructure/rules_progressive/firewall_3
View File

@ -1,12 +1,12 @@
# Définition des interfaces avec un nom
define netif = enp0s3
define dmzif = enp0s8
define lanif = enp0s9
define netif = enp0s3 # Interface avec accès internet extérieur
define dmzif = enp0s8 # Interface branchée à la DMZ
define lanif = enp0s9 # Interface branchée au LAN
# Définition des réseaux
define dmz-ntw = 172.17.0.0/24
define lan-ntw = 172.16.0.0/24
define net-ntw = 192.168.0.0/24
define dmz-ntw = 172.17.0.0/24 # Plage réseau de la DMZ
define lan-ntw = 172.16.0.0/24 # Plage réseau du LAN
define net-ntw = 192.168.0.0/24 # Plage réseau, accès internet
# Définition des IPs du pare-feu
define firewall-net = 192.168.0.120
@ -29,10 +29,10 @@ table ip ipfilter {
chain prerouting {
type filter hook prerouting priority filter; policy drop;
#Permet le passage des réponses aux requêtes acceptées
# Permet le passage des réponses aux requêtes acceptées
ct state established, related accept
#Autorise le SSH, étape 2
# Autorise le SSH, étape 2
tcp dport 22 iif $firewall-net accept
}
@ -40,43 +40,43 @@ table ip ipfilter {
chain system_in {
type filter hook input priority filter; policy drop;
#Permet le passage des réponses aux requêtes acceptées
# Permet le passage des réponses aux requêtes acceptées
ct state established, related accept
#Refuse les paquets sans états/qui viennent d'une connexion inconnue
# Refuse les paquets sans états/qui viennent d'une connexion inconnue
ct state invalid, untracked drop
#Autorise le SSH, étape 2
# Autorise le SSH, étape 2
tcp dport 22 iif $firewall-net accept
}
chain routing {
type filter hook forward priority filter; policy drop;
#Permet le passage des réponses aux requêtes acceptées
# Permet le passage des réponses aux requêtes acceptées
ct state established, related accept
#Refuse les paquets sans états/qui viennent d'une connexion inconnue
# Refuse les paquets sans états/qui viennent d'une connexion inconnue
ct state invalid, untracked drop
}
chain system_out {
type filter hook output priority filter; policy drop;
#Autorise le SSH à destination de srv-dmz et srv-service si la requête vient du firewall, étape 3 - A vérifier
# Autorise le SSH à destination de srv-dmz et srv-service si la requête vient du firewall, étape 3 - A vérifier
tcp sport 22 ip saddr {$firewall-dmz, $firewall-lan} ip daddr {$proxy-dns, $dhcp} accept
}
chain postrouting {
type filter hook postrouting priority filter; policy drop;
#Permet le passage des réponses aux requêtes acceptées
# Permet le passage des réponses aux requêtes acceptées
ct state established, related accept
#Refuse les paquets sans états/qui viennent d'une connexion inconnue
# Refuse les paquets sans états/qui viennent d'une connexion inconnue
ct state invalid, untracked drop
#Autorise le SSH à destination de srv-dmz et srv-service si la requête vient du firewall, étape 3 - A vérifier
# Autorise le SSH à destination de srv-dmz et srv-service si la requête vient du firewall, étape 3 - A vérifier
tcp sport 22 ip saddr {$firewall-dmz, $firewall-lan} ip daddr {$proxy-dns, $dhcp} accept
}
}

50
sisr1/tp08_evolution_infrastructure/rules_progressive/firewall_4
View File

@ -1,12 +1,12 @@
# Définition des interfaces avec un nom
define netif = enp0s3
define dmzif = enp0s8
define lanif = enp0s9
define netif = enp0s3 # Interface avec accès internet extérieur
define dmzif = enp0s8 # Interface branchée à la DMZ
define lanif = enp0s9 # Interface branchée au LAN
# Définition des réseaux
define dmz-ntw = 172.17.0.0/24
define lan-ntw = 172.16.0.0/24
define net-ntw = 192.168.0.0/24
define dmz-ntw = 172.17.0.0/24 # Plage réseau de la DMZ
define lan-ntw = 172.16.0.0/24 # Plage réseau du LAN
define net-ntw = 192.168.0.0/24 # Plage réseau, accès internet
# Définition des IPs du pare-feu
define firewall-net = 192.168.0.120
@ -29,16 +29,16 @@ table ip ipfilter {
chain prerouting {
type filter hook prerouting priority filter; policy drop;
#Permet le passage des réponses aux requêtes acceptées
# Permet le passage des réponses aux requêtes acceptées
ct state established, related accept
#Autorise le SSH, étape 2
# Autorise le SSH, étape 2
tcp dport 22 iif $firewall-net accept
#Accepte les requêtes de ping si elles viennent du LAN, à destination de la DMZ, étape 4
# Accepte les requêtes de ping si elles viennent du LAN, à destination de la DMZ, étape 4
icmp type echo-request iif {$lanif} oif {$dmzif} accept
#Accepte les réponses ping pour l'étape 4
# Accepte les réponses ping pour l'étape 4
icmp type echo-reply accept
@ -47,61 +47,61 @@ table ip ipfilter {
chain system_in {
type filter hook input priority filter; policy drop;
#Permet le passage des réponses aux requêtes acceptées
# Permet le passage des réponses aux requêtes acceptées
ct state established, related accept
#Refuse les paquets sans états/qui viennent d'une connexion inconnue
# Refuse les paquets sans états/qui viennent d'une connexion inconnue
ct state invalid, untracked drop
#Autorise le SSH, étape 2
# Autorise le SSH, étape 2
tcp dport 22 iif $firewall-net accept
#Accepte les requêtes de ping si elles viennent du LAN, à destination de la DMZ, étape 4
# Accepte les requêtes de ping si elles viennent du LAN, à destination de la DMZ, étape 4
icmp type echo-request iif {$lanif} oif {$dmzif} accept
#Accepte les réponses ping pour l'étape 4
# Accepte les réponses ping pour l'étape 4
icmp type echo-reply accept
}
chain routing {
type filter hook forward priority filter; policy drop;
#Permet le passage des réponses aux requêtes acceptées
# Permet le passage des réponses aux requêtes acceptées
ct state established, related accept
#Refuse les paquets sans états/qui viennent d'une connexion inconnue
# Refuse les paquets sans états/qui viennent d'une connexion inconnue
ct state invalid, untracked drop
#Accepte les requêtes de ping si elles viennent du LAN, à destination de la DMZ, étape 4
# Accepte les requêtes de ping si elles viennent du LAN, à destination de la DMZ, étape 4
icmp type echo-request iif {$lanif} oif {$dmzif} accept
}
chain system_out {
type filter hook output priority filter; policy drop;
#Autorise le SSH à destination de srv-dmz et srv-service si la requête vient du firewall, étape 3 - A vérifier
# Autorise le SSH à destination de srv-dmz et srv-service si la requête vient du firewall, étape 3 - A vérifier
tcp sport 22 ip saddr {$firewall-dmz, $firewall-lan} ip daddr {$proxy-dns, $dhcp} accept
#Autorise le pare-feu à faire des pings vers toutes les machines, étape 4 - A vérifier
# Autorise le pare-feu à faire des pings vers toutes les machines, étape 4 - A vérifier
icmp type echo-request ip saddr {$firewall-net, $firewall-lan, $firewall-dmz} accept
}
chain postrouting {
type filter hook postrouting priority filter; policy drop;
#Permet le passage des réponses aux requêtes acceptées
# Permet le passage des réponses aux requêtes acceptées
ct state established, related accept
#Refuse les paquets sans états/qui viennent d'une connexion inconnue
# Refuse les paquets sans états/qui viennent d'une connexion inconnue
ct state invalid, untracked drop
#Autorise le SSH à destination de srv-dmz et srv-service si la requête vient du firewall, étape 3 - A vérifier
# Autorise le SSH à destination de srv-dmz et srv-service si la requête vient du firewall, étape 3 - A vérifier
tcp sport 22 ip saddr {$firewall-dmz, $firewall-lan} ip daddr {$proxy-dns, $dhcp} accept
#Accepte les requêtes de ping si elles viennent du LAN, à destination de la DMZ, étape 4
# Accepte les requêtes de ping si elles viennent du LAN, à destination de la DMZ, étape 4
icmp type echo-request iif {$lanif} oif {$dmzif} accept
#Autorise le pare-feu à faire des pings vers toutes les machines, étape 4 - A vérifier
# Autorise le pare-feu à faire des pings vers toutes les machines, étape 4 - A vérifier
icmp type echo-request ip saddr {$firewall-net, $firewall-lan, $firewall-dmz} accept
}
}

80
sisr1/tp08_evolution_infrastructure/rules_progressive/firewall_5
View File

@ -1,12 +1,12 @@
# Définition des interfaces avec un nom
define netif = enp0s3
define dmzif = enp0s8
define lanif = enp0s9
define netif = enp0s3 # Interface avec accès internet extérieur
define dmzif = enp0s8 # Interface branchée à la DMZ
define lanif = enp0s9 # Interface branchée au LAN
# Définition des réseaux
define dmz-ntw = 172.17.0.0/24
define lan-ntw = 172.16.0.0/24
define net-ntw = 192.168.0.0/24
define dmz-ntw = 172.17.0.0/24 # Plage réseau de la DMZ
define lan-ntw = 172.16.0.0/24 # Plage réseau du LAN
define net-ntw = 192.168.0.0/24 # Plage réseau, accès internet
# Définition des IPs du pare-feu
define firewall-net = 192.168.0.120
@ -29,26 +29,26 @@ table ip ipfilter {
chain prerouting {
type filter hook prerouting priority filter; policy drop;
#Permet le passage des réponses aux requêtes acceptées
# Permet le passage des réponses aux requêtes acceptées
ct state established, related accept
#Autorise le SSH, étape 2
# Autorise le SSH, étape 2
tcp dport 22 iif $firewall-net accept
#Accepte les requêtes de ping si elles viennent du LAN, à destination de la DMZ, étape 4
# Accepte les requêtes de ping si elles viennent du LAN, à destination de la DMZ, étape 4
icmp type echo-request iif {$lanif} oif {$dmzif} accept
#Accepte les réponses ping pour l'étape 4
# Accepte les réponses ping pour l'étape 4
icmp type echo-reply accept
#Autorise les requêtes HTTP/HTTPS venant de la LAN - A vérifier
# Autorise les requêtes HTTP/HTTPS venant de la LAN - A vérifier
tcp dport {$portproxy} ip saddr $lan-ntw ip daddr $proxy-dns accept
#Autorise les requêtes DNS venant de la LAN - A vérifier
# Autorise les requêtes DNS venant de la LAN - A vérifier
udp dport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept
udp sport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept
#Autorise les réponses DNS allant vers la LAN (étape 5) - A vérifier, expérimental
# Autorise les réponses DNS allant vers la LAN (étape 5) - A vérifier, expérimental
udp dport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept
udp sport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept
}
@ -56,29 +56,29 @@ table ip ipfilter {
chain system_in {
type filter hook input priority filter; policy drop;
#Permet le passage des réponses aux requêtes acceptées
# Permet le passage des réponses aux requêtes acceptées
ct state established, related accept
#Refuse les paquets sans états/qui viennent d'une connexion inconnue
# Refuse les paquets sans états/qui viennent d'une connexion inconnue
ct state invalid, untracked drop
#Autorise le SSH, étape 2
# Autorise le SSH, étape 2
tcp dport 22 iif $firewall-net accept
#Accepte les requêtes de ping si elles viennent du LAN, à destination de la DMZ, étape 4
# Accepte les requêtes de ping si elles viennent du LAN, à destination de la DMZ, étape 4
icmp type echo-request iif {$lanif} oif {$dmzif} accept
#Accepte les réponses ping pour l'étape 4
# Accepte les réponses ping pour l'étape 4
icmp type echo-reply accept
#Autorise les requêtes HTTP/HTTPS venant de la LAN (étape 5) - A vérifier
# Autorise les requêtes HTTP/HTTPS venant de la LAN (étape 5) - A vérifier
tcp dport {$portproxy} ip saddr $lan-ntw ip daddr $proxy-dns accept
#Autorise les requêtes DNS venant de la LAN (étape 5) - A vérifier
# Autorise les requêtes DNS venant de la LAN (étape 5) - A vérifier
udp dport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept
udp sport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept
#Autorise les réponses DNS allant vers la LAN (étape 5) - A vérifier, expérimental
# Autorise les réponses DNS allant vers la LAN (étape 5) - A vérifier, expérimental
udp dport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept
udp sport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept
}
@ -86,23 +86,23 @@ table ip ipfilter {
chain routing {
type filter hook forward priority filter; policy drop;
#Permet le passage des réponses aux requêtes acceptées
# Permet le passage des réponses aux requêtes acceptées
ct state established, related accept
#Refuse les paquets sans états/qui viennent d'une connexion inconnue
# Refuse les paquets sans états/qui viennent d'une connexion inconnue
ct state invalid, untracked drop
#Accepte les requêtes de ping si elles viennent du LAN, à destination de la DMZ, étape 4
# Accepte les requêtes de ping si elles viennent du LAN, à destination de la DMZ, étape 4
icmp type echo-request iif {$lanif} oif {$dmzif} accept
#Autorise les requêtes HTTP/HTTPS venant de la LAN (étape 5) - A vérifier
# Autorise les requêtes HTTP/HTTPS venant de la LAN (étape 5) - A vérifier
tcp dport {$portproxy} ip saddr $lan-ntw ip daddr $proxy-dns accept
#Autorise les requêtes DNS venant de la LAN (étape 5) - A vérifier
# Autorise les requêtes DNS venant de la LAN (étape 5) - A vérifier
udp dport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept
udp sport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept
#Autorise les réponses DNS allant vers la LAN (étape 5) - A vérifier, expérimental
# Autorise les réponses DNS allant vers la LAN (étape 5) - A vérifier, expérimental
udp dport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept
udp sport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept
@ -111,20 +111,20 @@ table ip ipfilter {
chain system_out {
type filter hook output priority filter; policy drop;
#Autorise le SSH à destination de srv-dmz et srv-service si la requête vient du firewall, étape 3 - A vérifier
# Autorise le SSH à destination de srv-dmz et srv-service si la requête vient du firewall, étape 3 - A vérifier
tcp sport 22 ip saddr {$firewall-dmz, $firewall-lan} ip daddr {$proxy-dns, $dhcp} accept
#Autorise le pare-feu à faire des pings vers toutes les machines, étape 4 - A vérifier
# Autorise le pare-feu à faire des pings vers toutes les machines, étape 4 - A vérifier
icmp type echo-request ip saddr {$firewall-net, $firewall-lan, $firewall-dmz} accept
#Autorise les requêtes HTTP/HTTPS venant de la LAN (étape 5) - A vérifier
# Autorise les requêtes HTTP/HTTPS venant de la LAN (étape 5) - A vérifier
tcp dport {$portproxy} ip saddr $lan-ntw ip daddr $proxy-dns accept
#Autorise les requêtes DNS venant de la LAN (étape 5) - A vérifier
# Autorise les requêtes DNS venant de la LAN (étape 5) - A vérifier
udp dport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept
udp sport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept
#Autorise les réponses DNS allant vers la LAN (étape 5) - A vérifier, expérimental
# Autorise les réponses DNS allant vers la LAN (étape 5) - A vérifier, expérimental
udp dport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept
udp sport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept
}
@ -132,29 +132,29 @@ table ip ipfilter {
chain postrouting {
type filter hook postrouting priority filter; policy drop;
#Permet le passage des réponses aux requêtes acceptées
# Permet le passage des réponses aux requêtes acceptées
ct state established, related accept
#Refuse les paquets sans états/qui viennent d'une connexion inconnue
# Refuse les paquets sans états/qui viennent d'une connexion inconnue
ct state invalid, untracked drop
#Autorise le SSH à destination de srv-dmz et srv-service si la requête vient du firewall, étape 3 - A vérifier
# Autorise le SSH à destination de srv-dmz et srv-service si la requête vient du firewall, étape 3 - A vérifier
tcp sport 22 ip saddr {$firewall-dmz, $firewall-lan} ip daddr {$proxy-dns, $dhcp} accept
#Accepte les requêtes de ping si elles viennent du LAN, à destination de la DMZ, étape 4
# Accepte les requêtes de ping si elles viennent du LAN, à destination de la DMZ, étape 4
icmp type echo-request iif {$lanif} oif {$dmzif} accept
#Autorise le pare-feu à faire des pings vers toutes les machines, étape 4 - A vérifier
# Autorise le pare-feu à faire des pings vers toutes les machines, étape 4 - A vérifier
icmp type echo-request ip saddr {$firewall-net, $firewall-lan, $firewall-dmz} accept
#Autorise les requêtes HTTP/HTTPS venant de la LAN (étape 5) - A vérifier
# Autorise les requêtes HTTP/HTTPS venant de la LAN (étape 5) - A vérifier
tcp dport {$portproxy} ip saddr $lan-ntw ip daddr $proxy-dns accept
#Autorise les requêtes DNS venant de la LAN (étape 5) - A vérifier
# Autorise les requêtes DNS venant de la LAN (étape 5) - A vérifier
udp dport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept
udp sport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept
#Autorise les réponses DNS allant vers la LAN (étape 5) - A vérifier, expérimental
# Autorise les réponses DNS allant vers la LAN (étape 5) - A vérifier, expérimental
udp dport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept
udp sport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept

86
sisr1/tp08_evolution_infrastructure/rules_progressive/firewall_6
View File

@ -1,12 +1,12 @@
# Définition des interfaces avec un nom
define netif = enp0s3
define dmzif = enp0s8
define lanif = enp0s9
define netif = enp0s3 # Interface avec accès internet extérieur
define dmzif = enp0s8 # Interface branchée à la DMZ
define lanif = enp0s9 # Interface branchée au LAN
# Définition des réseaux
define dmz-ntw = 172.17.0.0/24
define lan-ntw = 172.16.0.0/24
define net-ntw = 192.168.0.0/24
define dmz-ntw = 172.17.0.0/24 # Plage réseau de la DMZ
define lan-ntw = 172.16.0.0/24 # Plage réseau du LAN
define net-ntw = 192.168.0.0/24 # Plage réseau, accès internet
# Définition des IPs du pare-feu
define firewall-net = 192.168.0.120
@ -29,59 +29,59 @@ table ip ipfilter {
chain prerouting {
type filter hook prerouting priority filter; policy drop;
#Permet le passage des réponses aux requêtes acceptées
# Permet le passage des réponses aux requêtes acceptées
ct state established, related accept
#Autorise le SSH, étape 2
# Autorise le SSH, étape 2
tcp dport 22 iif $firewall-net accept
#Accepte les requêtes de ping si elles viennent du LAN, à destination de la DMZ, étape 4
# Accepte les requêtes de ping si elles viennent du LAN, à destination de la DMZ, étape 4
icmp type echo-request iif {$lanif} oif {$dmzif} accept
#Accepte les réponses ping pour l'étape 4
# Accepte les réponses ping pour l'étape 4
icmp type echo-reply accept
#Autorise les requêtes HTTP/HTTPS venant de la LAN - A vérifier
# Autorise les requêtes HTTP/HTTPS venant de la LAN - A vérifier
tcp dport {$portproxy} ip saddr $lan-ntw ip daddr $proxy-dns accept
#Autorise les requêtes DNS venant de la LAN - A vérifier
# Autorise les requêtes DNS venant de la LAN - A vérifier
udp dport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept
udp sport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept
#Autorise les réponses DNS allant vers la LAN (étape 5) - A vérifier, expérimental
# Autorise les réponses DNS allant vers la LAN (étape 5) - A vérifier, expérimental
udp dport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept
udp sport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept
#Autorise les requêtes DNS depuis le serveur proxy vers sio.lan (gwsio) (étape 6)
# Autorise les requêtes DNS depuis le serveur proxy vers sio.lan (gwsio) (étape 6)
tcp dport 53 ip saddr $proxy-dns ip daddr $router accept
}
chain system_in {
type filter hook input priority filter; policy drop;
#Permet le passage des réponses aux requêtes acceptées
# Permet le passage des réponses aux requêtes acceptées
ct state established, related accept
#Refuse les paquets sans états/qui viennent d'une connexion inconnue
# Refuse les paquets sans états/qui viennent d'une connexion inconnue
ct state invalid, untracked drop
#Autorise le SSH, étape 2
# Autorise le SSH, étape 2
tcp dport 22 iif $firewall-net accept
#Accepte les requêtes de ping si elles viennent du LAN, à destination de la DMZ, étape 4
# Accepte les requêtes de ping si elles viennent du LAN, à destination de la DMZ, étape 4
icmp type echo-request iif {$lanif} oif {$dmzif} accept
#Accepte les réponses ping pour l'étape 4
# Accepte les réponses ping pour l'étape 4
icmp type echo-reply accept
#Autorise les requêtes HTTP/HTTPS venant de la LAN (étape 5) - A vérifier
# Autorise les requêtes HTTP/HTTPS venant de la LAN (étape 5) - A vérifier
tcp dport {$portproxy} ip saddr $lan-ntw ip daddr $proxy-dns accept
#Autorise les requêtes DNS venant de la LAN (étape 5) - A vérifier
# Autorise les requêtes DNS venant de la LAN (étape 5) - A vérifier
udp dport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept
udp sport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept
#Autorise les réponses DNS allant vers la LAN (étape 5) - A vérifier, expérimental
# Autorise les réponses DNS allant vers la LAN (étape 5) - A vérifier, expérimental
udp dport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept
udp sport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept
}
@ -89,47 +89,47 @@ table ip ipfilter {
chain routing {
type filter hook forward priority filter; policy drop;
#Permet le passage des réponses aux requêtes acceptées
# Permet le passage des réponses aux requêtes acceptées
ct state established, related accept
#Refuse les paquets sans états/qui viennent d'une connexion inconnue
# Refuse les paquets sans états/qui viennent d'une connexion inconnue
ct state invalid, untracked drop
#Accepte les requêtes de ping si elles viennent du LAN, à destination de la DMZ, étape 4
# Accepte les requêtes de ping si elles viennent du LAN, à destination de la DMZ, étape 4
icmp type echo-request iif {$lanif} oif {$dmzif} accept
#Autorise les requêtes HTTP/HTTPS venant de la LAN (étape 5) - A vérifier
# Autorise les requêtes HTTP/HTTPS venant de la LAN (étape 5) - A vérifier
tcp dport {$portproxy} ip saddr $lan-ntw ip daddr $proxy-dns accept
#Autorise les requêtes DNS venant de la LAN (étape 5) - A vérifier
# Autorise les requêtes DNS venant de la LAN (étape 5) - A vérifier
udp dport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept
udp sport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept
#Autorise les réponses DNS allant vers la LAN (étape 5) - A vérifier, expérimental
# Autorise les réponses DNS allant vers la LAN (étape 5) - A vérifier, expérimental
udp dport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept
udp sport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept
#Autorise les requêtes DNS depuis le serveur proxy vers sio.lan (gwsio) (étape 6)
# Autorise les requêtes DNS depuis le serveur proxy vers sio.lan (gwsio) (étape 6)
tcp dport 53 ip saddr $proxy-dns ip daddr $router accept
}
chain system_out {
type filter hook output priority filter; policy drop;
#Autorise le SSH à destination de srv-dmz et srv-service si la requête vient du firewall, étape 3 - A vérifier
# Autorise le SSH à destination de srv-dmz et srv-service si la requête vient du firewall, étape 3 - A vérifier
tcp sport 22 ip saddr {$firewall-dmz, $firewall-lan} ip daddr {$proxy-dns, $dhcp} accept
#Autorise le pare-feu à faire des pings vers toutes les machines, étape 4 - A vérifier
# Autorise le pare-feu à faire des pings vers toutes les machines, étape 4 - A vérifier
icmp type echo-request ip saddr {$firewall-net, $firewall-lan, $firewall-dmz} accept
#Autorise les requêtes HTTP/HTTPS venant de la LAN (étape 5) - A vérifier
# Autorise les requêtes HTTP/HTTPS venant de la LAN (étape 5) - A vérifier
tcp dport {$portproxy} ip saddr $lan-ntw ip daddr $proxy-dns accept
#Autorise les requêtes DNS venant de la LAN (étape 5) - A vérifier
# Autorise les requêtes DNS venant de la LAN (étape 5) - A vérifier
udp dport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept
udp sport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept
#Autorise les réponses DNS allant vers la LAN (étape 5) - A vérifier, expérimental
# Autorise les réponses DNS allant vers la LAN (étape 5) - A vérifier, expérimental
udp dport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept
udp sport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept
}
@ -137,33 +137,33 @@ table ip ipfilter {
chain postrouting {
type filter hook postrouting priority filter; policy drop;
#Permet le passage des réponses aux requêtes acceptées
# Permet le passage des réponses aux requêtes acceptées
ct state established, related accept
#Refuse les paquets sans états/qui viennent d'une connexion inconnue
# Refuse les paquets sans états/qui viennent d'une connexion inconnue
ct state invalid, untracked drop
#Autorise le SSH à destination de srv-dmz et srv-service si la requête vient du firewall, étape 3 - A vérifier
# Autorise le SSH à destination de srv-dmz et srv-service si la requête vient du firewall, étape 3 - A vérifier
tcp sport 22 ip saddr {$firewall-dmz, $firewall-lan} ip daddr {$proxy-dns, $dhcp} accept
#Accepte les requêtes de ping si elles viennent du LAN, à destination de la DMZ, étape 4
# Accepte les requêtes de ping si elles viennent du LAN, à destination de la DMZ, étape 4
icmp type echo-request iif {$lanif} oif {$dmzif} accept
#Autorise le pare-feu à faire des pings vers toutes les machines, étape 4 - A vérifier
# Autorise le pare-feu à faire des pings vers toutes les machines, étape 4 - A vérifier
icmp type echo-request ip saddr {$firewall-net, $firewall-lan, $firewall-dmz} accept
#Autorise les requêtes HTTP/HTTPS venant de la LAN (étape 5) - A vérifier
# Autorise les requêtes HTTP/HTTPS venant de la LAN (étape 5) - A vérifier
tcp dport {$portproxy} ip saddr $lan-ntw ip daddr $proxy-dns accept
#Autorise les requêtes DNS venant de la LAN (étape 5) - A vérifier
# Autorise les requêtes DNS venant de la LAN (étape 5) - A vérifier
udp dport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept
udp sport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept
#Autorise les réponses DNS allant vers la LAN (étape 5) - A vérifier, expérimental
# Autorise les réponses DNS allant vers la LAN (étape 5) - A vérifier, expérimental
udp dport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept
udp sport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept
#Autorise les requêtes DNS depuis le serveur proxy vers sio.lan (gwsio) (étape 6)
# Autorise les requêtes DNS depuis le serveur proxy vers sio.lan (gwsio) (étape 6)
tcp dport 53 ip saddr $proxy-dns ip daddr $router accept
}
}

95
sisr1/tp08_evolution_infrastructure/rules_progressive/firewall_7
View File

@ -1,12 +1,12 @@
# Définition des interfaces avec un nom
define netif = enp0s3
define dmzif = enp0s8
define lanif = enp0s9
define netif = enp0s3 # Interface avec accès internet extérieur
define dmzif = enp0s8 # Interface branchée à la DMZ
define lanif = enp0s9 # Interface branchée au LAN
# Définition des réseaux
define dmz-ntw = 172.17.0.0/24
define lan-ntw = 172.16.0.0/24
define net-ntw = 192.168.0.0/24
define dmz-ntw = 172.17.0.0/24 # Plage réseau de la DMZ
define lan-ntw = 172.16.0.0/24 # Plage réseau du LAN
define net-ntw = 192.168.0.0/24 # Plage réseau, accès internet
# Définition des IPs du pare-feu
define firewall-net = 192.168.0.120
@ -29,116 +29,116 @@ table ip ipfilter {
chain prerouting {
type filter hook prerouting priority filter; policy drop;
#Permet le passage des réponses aux requêtes acceptées
# Permet le passage des réponses aux requêtes acceptées
ct state established, related accept
#Autorise le SSH, étape 2
# Autorise le SSH, étape 2
tcp dport 22 iif $firewall-net accept
#Accepte les requêtes de ping si elles viennent du LAN, à destination de la DMZ, étape 4
# Accepte les requêtes de ping si elles viennent du LAN, à destination de la DMZ, étape 4
icmp type echo-request iif {$lanif} oif {$dmzif} accept
#Accepte les réponses ping pour l'étape 4
# Accepte les réponses ping pour l'étape 4
icmp type echo-reply accept
#Autorise les requêtes HTTP/HTTPS venant de la LAN - A vérifier
# Autorise les requêtes HTTP/HTTPS venant de la LAN - A vérifier
tcp dport {$portproxy} ip saddr $lan-ntw ip daddr $proxy-dns accept
#Autorise les requêtes DNS venant de la LAN - A vérifier
# Autorise les requêtes DNS venant de la LAN - A vérifier
udp dport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept
udp sport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept
#Autorise les réponses DNS allant vers la LAN (étape 5) - A vérifier, expérimental
# Autorise les réponses DNS allant vers la LAN (étape 5) - A vérifier, expérimental
udp dport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept
udp sport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept
#Autorise les requêtes DNS depuis le serveur proxy vers sio.lan (gwsio) (étape 6)
# Autorise les requêtes DNS depuis le serveur proxy vers sio.lan (gwsio) (étape 6)
tcp dport 53 ip saddr $proxy-dns ip daddr $router accept
#Autorise les requêtes vers internet si elles viennent du serveur proxy (étape 7) - A vérifier
# Autorise les requêtes vers internet si elles viennent du serveur proxy (étape 7) - A vérifier
ip saddr $proxy-dns daddr $router accept
}
chain system_in {
type filter hook input priority filter; policy drop;
#Permet le passage des réponses aux requêtes acceptées
# Permet le passage des réponses aux requêtes acceptées
ct state established, related accept
#Refuse les paquets sans états/qui viennent d'une connexion inconnue
# Refuse les paquets sans états/qui viennent d'une connexion inconnue
ct state invalid, untracked drop
#Autorise le SSH, étape 2
# Autorise le SSH, étape 2
tcp dport 22 iif $firewall-net accept
#Accepte les requêtes de ping si elles viennent du LAN, à destination de la DMZ, étape 4
# Accepte les requêtes de ping si elles viennent du LAN, à destination de la DMZ, étape 4
icmp type echo-request iif {$lanif} oif {$dmzif} accept
#Accepte les réponses ping pour l'étape 4
# Accepte les réponses ping pour l'étape 4
icmp type echo-reply accept
#Autorise les requêtes HTTP/HTTPS venant de la LAN (étape 5) - A vérifier
# Autorise les requêtes HTTP/HTTPS venant de la LAN (étape 5) - A vérifier
tcp dport {$portproxy} ip saddr $lan-ntw ip daddr $proxy-dns accept
#Autorise les requêtes DNS venant de la LAN (étape 5) - A vérifier
# Autorise les requêtes DNS venant de la LAN (étape 5) - A vérifier
udp dport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept
udp sport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept
#Autorise les réponses DNS allant vers la LAN (étape 5) - A vérifier, expérimental
# Autorise les réponses DNS allant vers la LAN (étape 5) - A vérifier, expérimental
udp dport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept
udp sport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept
#Autorise les requêtes vers internet si elles viennent du serveur proxy (étape 7) - A vérifier
# Autorise les requêtes vers internet si elles viennent du serveur proxy (étape 7) - A vérifier
ip saddr $proxy-dns daddr $router accept
}
chain routing {
type filter hook forward priority filter; policy drop;
#Permet le passage des réponses aux requêtes acceptées
# Permet le passage des réponses aux requêtes acceptées
ct state established, related accept
#Refuse les paquets sans états/qui viennent d'une connexion inconnue
# Refuse les paquets sans états/qui viennent d'une connexion inconnue
ct state invalid, untracked drop
#Accepte les requêtes de ping si elles viennent du LAN, à destination de la DMZ, étape 4
# Accepte les requêtes de ping si elles viennent du LAN, à destination de la DMZ, étape 4
icmp type echo-request iif {$lanif} oif {$dmzif} accept
#Autorise les requêtes HTTP/HTTPS venant de la LAN (étape 5) - A vérifier
# Autorise les requêtes HTTP/HTTPS venant de la LAN (étape 5) - A vérifier
tcp dport {$portproxy} ip saddr $lan-ntw ip daddr $proxy-dns accept
#Autorise les requêtes DNS venant de la LAN (étape 5) - A vérifier
# Autorise les requêtes DNS venant de la LAN (étape 5) - A vérifier
udp dport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept
udp sport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept
#Autorise les réponses DNS allant vers la LAN (étape 5) - A vérifier, expérimental
# Autorise les réponses DNS allant vers la LAN (étape 5) - A vérifier, expérimental
udp dport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept
udp sport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept
#Autorise les requêtes DNS depuis le serveur proxy vers sio.lan (gwsio) (étape 6)
# Autorise les requêtes DNS depuis le serveur proxy vers sio.lan (gwsio) (étape 6)
tcp dport 53 ip saddr $proxy-dns ip daddr $router accept
#Autorise les requêtes vers internet si elles viennent du serveur proxy (étape 7) - A vérifier
# Autorise les requêtes vers internet si elles viennent du serveur proxy (étape 7) - A vérifier
ip saddr $proxy-dns daddr $router accept
}
chain system_out {
type filter hook output priority filter; policy drop;
#Autorise le SSH à destination de srv-dmz et srv-service si la requête vient du firewall, étape 3 - A vérifier
# Autorise le SSH à destination de srv-dmz et srv-service si la requête vient du firewall, étape 3 - A vérifier
tcp sport 22 ip saddr {$firewall-dmz, $firewall-lan} ip daddr {$proxy-dns, $dhcp} accept
#Autorise le pare-feu à faire des pings vers toutes les machines, étape 4 - A vérifier
# Autorise le pare-feu à faire des pings vers toutes les machines, étape 4 - A vérifier
icmp type echo-request ip saddr {$firewall-net, $firewall-lan, $firewall-dmz} accept
#Autorise les requêtes HTTP/HTTPS venant de la LAN (étape 5) - A vérifier
# Autorise les requêtes HTTP/HTTPS venant de la LAN (étape 5) - A vérifier
tcp dport {$portproxy} ip saddr $lan-ntw ip daddr $proxy-dns accept
#Autorise les requêtes DNS venant de la LAN (étape 5) - A vérifier
# Autorise les requêtes DNS venant de la LAN (étape 5) - A vérifier
udp dport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept
udp sport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept
#Autorise les réponses DNS allant vers la LAN (étape 5) - A vérifier, expérimental
# Autorise les réponses DNS allant vers la LAN (étape 5) - A vérifier, expérimental
udp dport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept
udp sport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept
}
@ -146,36 +146,37 @@ table ip ipfilter {
chain postrouting {
type filter hook postrouting priority filter; policy drop;
#Permet le passage des réponses aux requêtes acceptées
# Permet le passage des réponses aux requêtes acceptées
ct state established, related accept
#Refuse les paquets sans états/qui viennent d'une connexion inconnue
# Refuse les paquets sans états/qui viennent d'une connexion inconnue
ct state invalid, untracked drop
#Autorise le SSH à destination de srv-dmz et srv-service si la requête vient du firewall, étape 3 - A vérifier
# Autorise le SSH à destination de srv-dmz et srv-service si la requête vient du firewall, étape 3 - A vérifier
tcp sport 22 ip saddr {$firewall-dmz, $firewall-lan} ip daddr {$proxy-dns, $dhcp} accept
#Accepte les requêtes de ping si elles viennent du LAN, à destination de la DMZ, étape 4
# Accepte les requêtes de ping si elles viennent du LAN, à destination de la DMZ, étape 4
icmp type echo-request iif {$lanif} oif {$dmzif} accept
#Autorise le pare-feu à faire des pings vers toutes les machines, étape 4 - A vérifier
# Autorise le pare-feu à faire des pings vers toutes les machines, étape 4 - A vérifier
icmp type echo-request ip saddr {$firewall-net, $firewall-lan, $firewall-dmz} accept
#Autorise les requêtes HTTP/HTTPS venant de la LAN (étape 5) - A vérifier
# Autorise les requêtes HTTP/HTTPS venant de la LAN (étape 5) - A vérifier
tcp dport {$portproxy} ip saddr $lan-ntw ip daddr $proxy-dns accept
#Autorise les requêtes DNS venant de la LAN (étape 5) - A vérifier
# Autorise les requêtes DNS venant de la LAN (étape 5) - A vérifier
udp dport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept
udp sport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept
#Autorise les réponses DNS allant vers la LAN (étape 5) - A vérifier, expérimental
# Autorise les réponses DNS allant vers la LAN (étape 5) - A vérifier, expérimental
udp dport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept
udp sport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept
#Autorise les requêtes DNS depuis le serveur proxy vers sio.lan (gwsio) (étape 6)
# Autorise les requêtes DNS depuis le serveur proxy vers sio.lan (gwsio) (étape 6)
tcp dport 53 ip saddr $proxy-dns ip daddr $router accept
#Autorise les requêtes vers internet si elles viennent du serveur proxy (étape 7) - A vérifier
# Autorise les requêtes vers internet si elles viennent du serveur proxy (étape 7) - A vérifier
ip saddr $proxy-dns daddr $router accept
}
}