diff --git a/sisr1/tp08_evolution_infrastructure/rules_progressive/firewall_1-2 b/sisr1/tp08_evolution_infrastructure/rules_progressive/firewall_1-2 index 2bcdc78..b1651b1 100644 --- a/sisr1/tp08_evolution_infrastructure/rules_progressive/firewall_1-2 +++ b/sisr1/tp08_evolution_infrastructure/rules_progressive/firewall_1-2 @@ -1,12 +1,12 @@ # Définition des interfaces avec un nom -define netif = enp0s3 -define dmzif = enp0s8 -define lanif = enp0s9 +define netif = enp0s3 # Interface avec accès internet extérieur +define dmzif = enp0s8 # Interface branchée à la DMZ +define lanif = enp0s9 # Interface branchée au LAN # Définition des réseaux -define dmz-ntw = 172.17.0.0/24 -define lan-ntw = 172.16.0.0/24 -define net-ntw = 192.168.0.0/24 +define dmz-ntw = 172.17.0.0/24 # Plage réseau de la DMZ +define lan-ntw = 172.16.0.0/24 # Plage réseau du LAN +define net-ntw = 192.168.0.0/24 # Plage réseau, accès internet # Définition des IPs du pare-feu define firewall-net = 192.168.0.120 @@ -29,10 +29,10 @@ table ip ipfilter { chain prerouting { type filter hook prerouting priority filter; policy drop; - #Permet le passage des réponses aux requêtes acceptées + # Permet le passage des réponses aux requêtes acceptées ct state established, related accept - #Autorise le SSH, étape 2 + # Autorise le SSH, étape 2 tcp dport 22 iif $firewall-net accept } @@ -40,23 +40,23 @@ table ip ipfilter { chain system_in { type filter hook input priority filter; policy drop; - #Permet le passage des réponses aux requêtes acceptées + # Permet le passage des réponses aux requêtes acceptées ct state established, related accept - #Refuse les paquets sans états/qui viennent d'une connexion inconnue + # Refuse les paquets sans états/qui viennent d'une connexion inconnue ct state invalid, untracked drop - #Autorise le SSH, étape 2 + # Autorise le SSH, étape 2 tcp dport 22 iif $firewall-net accept } chain routing { type filter hook forward priority filter; policy drop; - #Permet le passage des réponses aux requêtes acceptées + # Permet le passage des réponses aux requêtes acceptées ct state established, related accept - #Refuse les paquets sans états/qui viennent d'une connexion inconnue + # Refuse les paquets sans états/qui viennent d'une connexion inconnue ct state invalid, untracked drop } @@ -67,10 +67,10 @@ table ip ipfilter { chain postrouting { type filter hook postrouting priority filter; policy drop; - #Permet le passage des réponses aux requêtes acceptées + # Permet le passage des réponses aux requêtes acceptées ct state established, related accept - #Refuse les paquets sans états/qui viennent d'une connexion inconnue + # Refuse les paquets sans états/qui viennent d'une connexion inconnue ct state invalid, untracked drop } } \ No newline at end of file diff --git a/sisr1/tp08_evolution_infrastructure/rules_progressive/firewall_3 b/sisr1/tp08_evolution_infrastructure/rules_progressive/firewall_3 index b4a8a59..327c0f7 100644 --- a/sisr1/tp08_evolution_infrastructure/rules_progressive/firewall_3 +++ b/sisr1/tp08_evolution_infrastructure/rules_progressive/firewall_3 @@ -1,12 +1,12 @@ # Définition des interfaces avec un nom -define netif = enp0s3 -define dmzif = enp0s8 -define lanif = enp0s9 +define netif = enp0s3 # Interface avec accès internet extérieur +define dmzif = enp0s8 # Interface branchée à la DMZ +define lanif = enp0s9 # Interface branchée au LAN # Définition des réseaux -define dmz-ntw = 172.17.0.0/24 -define lan-ntw = 172.16.0.0/24 -define net-ntw = 192.168.0.0/24 +define dmz-ntw = 172.17.0.0/24 # Plage réseau de la DMZ +define lan-ntw = 172.16.0.0/24 # Plage réseau du LAN +define net-ntw = 192.168.0.0/24 # Plage réseau, accès internet # Définition des IPs du pare-feu define firewall-net = 192.168.0.120 @@ -29,10 +29,10 @@ table ip ipfilter { chain prerouting { type filter hook prerouting priority filter; policy drop; - #Permet le passage des réponses aux requêtes acceptées + # Permet le passage des réponses aux requêtes acceptées ct state established, related accept - #Autorise le SSH, étape 2 + # Autorise le SSH, étape 2 tcp dport 22 iif $firewall-net accept } @@ -40,43 +40,43 @@ table ip ipfilter { chain system_in { type filter hook input priority filter; policy drop; - #Permet le passage des réponses aux requêtes acceptées + # Permet le passage des réponses aux requêtes acceptées ct state established, related accept - #Refuse les paquets sans états/qui viennent d'une connexion inconnue + # Refuse les paquets sans états/qui viennent d'une connexion inconnue ct state invalid, untracked drop - #Autorise le SSH, étape 2 + # Autorise le SSH, étape 2 tcp dport 22 iif $firewall-net accept } chain routing { type filter hook forward priority filter; policy drop; - #Permet le passage des réponses aux requêtes acceptées + # Permet le passage des réponses aux requêtes acceptées ct state established, related accept - #Refuse les paquets sans états/qui viennent d'une connexion inconnue + # Refuse les paquets sans états/qui viennent d'une connexion inconnue ct state invalid, untracked drop } chain system_out { type filter hook output priority filter; policy drop; - #Autorise le SSH à destination de srv-dmz et srv-service si la requête vient du firewall, étape 3 - A vérifier + # Autorise le SSH à destination de srv-dmz et srv-service si la requête vient du firewall, étape 3 - A vérifier tcp sport 22 ip saddr {$firewall-dmz, $firewall-lan} ip daddr {$proxy-dns, $dhcp} accept } chain postrouting { type filter hook postrouting priority filter; policy drop; - #Permet le passage des réponses aux requêtes acceptées + # Permet le passage des réponses aux requêtes acceptées ct state established, related accept - #Refuse les paquets sans états/qui viennent d'une connexion inconnue + # Refuse les paquets sans états/qui viennent d'une connexion inconnue ct state invalid, untracked drop - #Autorise le SSH à destination de srv-dmz et srv-service si la requête vient du firewall, étape 3 - A vérifier + # Autorise le SSH à destination de srv-dmz et srv-service si la requête vient du firewall, étape 3 - A vérifier tcp sport 22 ip saddr {$firewall-dmz, $firewall-lan} ip daddr {$proxy-dns, $dhcp} accept } } \ No newline at end of file diff --git a/sisr1/tp08_evolution_infrastructure/rules_progressive/firewall_4 b/sisr1/tp08_evolution_infrastructure/rules_progressive/firewall_4 index 3c6a6a5..5421193 100644 --- a/sisr1/tp08_evolution_infrastructure/rules_progressive/firewall_4 +++ b/sisr1/tp08_evolution_infrastructure/rules_progressive/firewall_4 @@ -1,12 +1,12 @@ # Définition des interfaces avec un nom -define netif = enp0s3 -define dmzif = enp0s8 -define lanif = enp0s9 +define netif = enp0s3 # Interface avec accès internet extérieur +define dmzif = enp0s8 # Interface branchée à la DMZ +define lanif = enp0s9 # Interface branchée au LAN # Définition des réseaux -define dmz-ntw = 172.17.0.0/24 -define lan-ntw = 172.16.0.0/24 -define net-ntw = 192.168.0.0/24 +define dmz-ntw = 172.17.0.0/24 # Plage réseau de la DMZ +define lan-ntw = 172.16.0.0/24 # Plage réseau du LAN +define net-ntw = 192.168.0.0/24 # Plage réseau, accès internet # Définition des IPs du pare-feu define firewall-net = 192.168.0.120 @@ -29,16 +29,16 @@ table ip ipfilter { chain prerouting { type filter hook prerouting priority filter; policy drop; - #Permet le passage des réponses aux requêtes acceptées + # Permet le passage des réponses aux requêtes acceptées ct state established, related accept - #Autorise le SSH, étape 2 + # Autorise le SSH, étape 2 tcp dport 22 iif $firewall-net accept - #Accepte les requêtes de ping si elles viennent du LAN, à destination de la DMZ, étape 4 + # Accepte les requêtes de ping si elles viennent du LAN, à destination de la DMZ, étape 4 icmp type echo-request iif {$lanif} oif {$dmzif} accept - #Accepte les réponses ping pour l'étape 4 + # Accepte les réponses ping pour l'étape 4 icmp type echo-reply accept @@ -47,61 +47,61 @@ table ip ipfilter { chain system_in { type filter hook input priority filter; policy drop; - #Permet le passage des réponses aux requêtes acceptées + # Permet le passage des réponses aux requêtes acceptées ct state established, related accept - #Refuse les paquets sans états/qui viennent d'une connexion inconnue + # Refuse les paquets sans états/qui viennent d'une connexion inconnue ct state invalid, untracked drop - #Autorise le SSH, étape 2 + # Autorise le SSH, étape 2 tcp dport 22 iif $firewall-net accept - #Accepte les requêtes de ping si elles viennent du LAN, à destination de la DMZ, étape 4 + # Accepte les requêtes de ping si elles viennent du LAN, à destination de la DMZ, étape 4 icmp type echo-request iif {$lanif} oif {$dmzif} accept - #Accepte les réponses ping pour l'étape 4 + # Accepte les réponses ping pour l'étape 4 icmp type echo-reply accept } chain routing { type filter hook forward priority filter; policy drop; - #Permet le passage des réponses aux requêtes acceptées + # Permet le passage des réponses aux requêtes acceptées ct state established, related accept - #Refuse les paquets sans états/qui viennent d'une connexion inconnue + # Refuse les paquets sans états/qui viennent d'une connexion inconnue ct state invalid, untracked drop - #Accepte les requêtes de ping si elles viennent du LAN, à destination de la DMZ, étape 4 + # Accepte les requêtes de ping si elles viennent du LAN, à destination de la DMZ, étape 4 icmp type echo-request iif {$lanif} oif {$dmzif} accept } chain system_out { type filter hook output priority filter; policy drop; - #Autorise le SSH à destination de srv-dmz et srv-service si la requête vient du firewall, étape 3 - A vérifier + # Autorise le SSH à destination de srv-dmz et srv-service si la requête vient du firewall, étape 3 - A vérifier tcp sport 22 ip saddr {$firewall-dmz, $firewall-lan} ip daddr {$proxy-dns, $dhcp} accept - #Autorise le pare-feu à faire des pings vers toutes les machines, étape 4 - A vérifier + # Autorise le pare-feu à faire des pings vers toutes les machines, étape 4 - A vérifier icmp type echo-request ip saddr {$firewall-net, $firewall-lan, $firewall-dmz} accept } chain postrouting { type filter hook postrouting priority filter; policy drop; - #Permet le passage des réponses aux requêtes acceptées + # Permet le passage des réponses aux requêtes acceptées ct state established, related accept - #Refuse les paquets sans états/qui viennent d'une connexion inconnue + # Refuse les paquets sans états/qui viennent d'une connexion inconnue ct state invalid, untracked drop - #Autorise le SSH à destination de srv-dmz et srv-service si la requête vient du firewall, étape 3 - A vérifier + # Autorise le SSH à destination de srv-dmz et srv-service si la requête vient du firewall, étape 3 - A vérifier tcp sport 22 ip saddr {$firewall-dmz, $firewall-lan} ip daddr {$proxy-dns, $dhcp} accept - #Accepte les requêtes de ping si elles viennent du LAN, à destination de la DMZ, étape 4 + # Accepte les requêtes de ping si elles viennent du LAN, à destination de la DMZ, étape 4 icmp type echo-request iif {$lanif} oif {$dmzif} accept - #Autorise le pare-feu à faire des pings vers toutes les machines, étape 4 - A vérifier + # Autorise le pare-feu à faire des pings vers toutes les machines, étape 4 - A vérifier icmp type echo-request ip saddr {$firewall-net, $firewall-lan, $firewall-dmz} accept } } \ No newline at end of file diff --git a/sisr1/tp08_evolution_infrastructure/rules_progressive/firewall_5 b/sisr1/tp08_evolution_infrastructure/rules_progressive/firewall_5 index ab3418d..3975c78 100644 --- a/sisr1/tp08_evolution_infrastructure/rules_progressive/firewall_5 +++ b/sisr1/tp08_evolution_infrastructure/rules_progressive/firewall_5 @@ -1,12 +1,12 @@ # Définition des interfaces avec un nom -define netif = enp0s3 -define dmzif = enp0s8 -define lanif = enp0s9 +define netif = enp0s3 # Interface avec accès internet extérieur +define dmzif = enp0s8 # Interface branchée à la DMZ +define lanif = enp0s9 # Interface branchée au LAN # Définition des réseaux -define dmz-ntw = 172.17.0.0/24 -define lan-ntw = 172.16.0.0/24 -define net-ntw = 192.168.0.0/24 +define dmz-ntw = 172.17.0.0/24 # Plage réseau de la DMZ +define lan-ntw = 172.16.0.0/24 # Plage réseau du LAN +define net-ntw = 192.168.0.0/24 # Plage réseau, accès internet # Définition des IPs du pare-feu define firewall-net = 192.168.0.120 @@ -29,26 +29,26 @@ table ip ipfilter { chain prerouting { type filter hook prerouting priority filter; policy drop; - #Permet le passage des réponses aux requêtes acceptées + # Permet le passage des réponses aux requêtes acceptées ct state established, related accept - #Autorise le SSH, étape 2 + # Autorise le SSH, étape 2 tcp dport 22 iif $firewall-net accept - #Accepte les requêtes de ping si elles viennent du LAN, à destination de la DMZ, étape 4 + # Accepte les requêtes de ping si elles viennent du LAN, à destination de la DMZ, étape 4 icmp type echo-request iif {$lanif} oif {$dmzif} accept - #Accepte les réponses ping pour l'étape 4 + # Accepte les réponses ping pour l'étape 4 icmp type echo-reply accept - #Autorise les requêtes HTTP/HTTPS venant de la LAN - A vérifier + # Autorise les requêtes HTTP/HTTPS venant de la LAN - A vérifier tcp dport {$portproxy} ip saddr $lan-ntw ip daddr $proxy-dns accept - #Autorise les requêtes DNS venant de la LAN - A vérifier + # Autorise les requêtes DNS venant de la LAN - A vérifier udp dport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept udp sport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept - #Autorise les réponses DNS allant vers la LAN (étape 5) - A vérifier, expérimental + # Autorise les réponses DNS allant vers la LAN (étape 5) - A vérifier, expérimental udp dport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept udp sport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept } @@ -56,29 +56,29 @@ table ip ipfilter { chain system_in { type filter hook input priority filter; policy drop; - #Permet le passage des réponses aux requêtes acceptées + # Permet le passage des réponses aux requêtes acceptées ct state established, related accept - #Refuse les paquets sans états/qui viennent d'une connexion inconnue + # Refuse les paquets sans états/qui viennent d'une connexion inconnue ct state invalid, untracked drop - #Autorise le SSH, étape 2 + # Autorise le SSH, étape 2 tcp dport 22 iif $firewall-net accept - #Accepte les requêtes de ping si elles viennent du LAN, à destination de la DMZ, étape 4 + # Accepte les requêtes de ping si elles viennent du LAN, à destination de la DMZ, étape 4 icmp type echo-request iif {$lanif} oif {$dmzif} accept - #Accepte les réponses ping pour l'étape 4 + # Accepte les réponses ping pour l'étape 4 icmp type echo-reply accept - #Autorise les requêtes HTTP/HTTPS venant de la LAN (étape 5) - A vérifier + # Autorise les requêtes HTTP/HTTPS venant de la LAN (étape 5) - A vérifier tcp dport {$portproxy} ip saddr $lan-ntw ip daddr $proxy-dns accept - #Autorise les requêtes DNS venant de la LAN (étape 5) - A vérifier + # Autorise les requêtes DNS venant de la LAN (étape 5) - A vérifier udp dport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept udp sport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept - #Autorise les réponses DNS allant vers la LAN (étape 5) - A vérifier, expérimental + # Autorise les réponses DNS allant vers la LAN (étape 5) - A vérifier, expérimental udp dport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept udp sport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept } @@ -86,23 +86,23 @@ table ip ipfilter { chain routing { type filter hook forward priority filter; policy drop; - #Permet le passage des réponses aux requêtes acceptées + # Permet le passage des réponses aux requêtes acceptées ct state established, related accept - #Refuse les paquets sans états/qui viennent d'une connexion inconnue + # Refuse les paquets sans états/qui viennent d'une connexion inconnue ct state invalid, untracked drop - #Accepte les requêtes de ping si elles viennent du LAN, à destination de la DMZ, étape 4 + # Accepte les requêtes de ping si elles viennent du LAN, à destination de la DMZ, étape 4 icmp type echo-request iif {$lanif} oif {$dmzif} accept - #Autorise les requêtes HTTP/HTTPS venant de la LAN (étape 5) - A vérifier + # Autorise les requêtes HTTP/HTTPS venant de la LAN (étape 5) - A vérifier tcp dport {$portproxy} ip saddr $lan-ntw ip daddr $proxy-dns accept - #Autorise les requêtes DNS venant de la LAN (étape 5) - A vérifier + # Autorise les requêtes DNS venant de la LAN (étape 5) - A vérifier udp dport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept udp sport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept - #Autorise les réponses DNS allant vers la LAN (étape 5) - A vérifier, expérimental + # Autorise les réponses DNS allant vers la LAN (étape 5) - A vérifier, expérimental udp dport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept udp sport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept @@ -111,20 +111,20 @@ table ip ipfilter { chain system_out { type filter hook output priority filter; policy drop; - #Autorise le SSH à destination de srv-dmz et srv-service si la requête vient du firewall, étape 3 - A vérifier + # Autorise le SSH à destination de srv-dmz et srv-service si la requête vient du firewall, étape 3 - A vérifier tcp sport 22 ip saddr {$firewall-dmz, $firewall-lan} ip daddr {$proxy-dns, $dhcp} accept - #Autorise le pare-feu à faire des pings vers toutes les machines, étape 4 - A vérifier + # Autorise le pare-feu à faire des pings vers toutes les machines, étape 4 - A vérifier icmp type echo-request ip saddr {$firewall-net, $firewall-lan, $firewall-dmz} accept - #Autorise les requêtes HTTP/HTTPS venant de la LAN (étape 5) - A vérifier + # Autorise les requêtes HTTP/HTTPS venant de la LAN (étape 5) - A vérifier tcp dport {$portproxy} ip saddr $lan-ntw ip daddr $proxy-dns accept - #Autorise les requêtes DNS venant de la LAN (étape 5) - A vérifier + # Autorise les requêtes DNS venant de la LAN (étape 5) - A vérifier udp dport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept udp sport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept - #Autorise les réponses DNS allant vers la LAN (étape 5) - A vérifier, expérimental + # Autorise les réponses DNS allant vers la LAN (étape 5) - A vérifier, expérimental udp dport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept udp sport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept } @@ -132,29 +132,29 @@ table ip ipfilter { chain postrouting { type filter hook postrouting priority filter; policy drop; - #Permet le passage des réponses aux requêtes acceptées + # Permet le passage des réponses aux requêtes acceptées ct state established, related accept - #Refuse les paquets sans états/qui viennent d'une connexion inconnue + # Refuse les paquets sans états/qui viennent d'une connexion inconnue ct state invalid, untracked drop - #Autorise le SSH à destination de srv-dmz et srv-service si la requête vient du firewall, étape 3 - A vérifier + # Autorise le SSH à destination de srv-dmz et srv-service si la requête vient du firewall, étape 3 - A vérifier tcp sport 22 ip saddr {$firewall-dmz, $firewall-lan} ip daddr {$proxy-dns, $dhcp} accept - #Accepte les requêtes de ping si elles viennent du LAN, à destination de la DMZ, étape 4 + # Accepte les requêtes de ping si elles viennent du LAN, à destination de la DMZ, étape 4 icmp type echo-request iif {$lanif} oif {$dmzif} accept - #Autorise le pare-feu à faire des pings vers toutes les machines, étape 4 - A vérifier + # Autorise le pare-feu à faire des pings vers toutes les machines, étape 4 - A vérifier icmp type echo-request ip saddr {$firewall-net, $firewall-lan, $firewall-dmz} accept - #Autorise les requêtes HTTP/HTTPS venant de la LAN (étape 5) - A vérifier + # Autorise les requêtes HTTP/HTTPS venant de la LAN (étape 5) - A vérifier tcp dport {$portproxy} ip saddr $lan-ntw ip daddr $proxy-dns accept - #Autorise les requêtes DNS venant de la LAN (étape 5) - A vérifier + # Autorise les requêtes DNS venant de la LAN (étape 5) - A vérifier udp dport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept udp sport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept - #Autorise les réponses DNS allant vers la LAN (étape 5) - A vérifier, expérimental + # Autorise les réponses DNS allant vers la LAN (étape 5) - A vérifier, expérimental udp dport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept udp sport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept diff --git a/sisr1/tp08_evolution_infrastructure/rules_progressive/firewall_6 b/sisr1/tp08_evolution_infrastructure/rules_progressive/firewall_6 index 44897a6..bd30dd6 100644 --- a/sisr1/tp08_evolution_infrastructure/rules_progressive/firewall_6 +++ b/sisr1/tp08_evolution_infrastructure/rules_progressive/firewall_6 @@ -1,12 +1,12 @@ # Définition des interfaces avec un nom -define netif = enp0s3 -define dmzif = enp0s8 -define lanif = enp0s9 +define netif = enp0s3 # Interface avec accès internet extérieur +define dmzif = enp0s8 # Interface branchée à la DMZ +define lanif = enp0s9 # Interface branchée au LAN # Définition des réseaux -define dmz-ntw = 172.17.0.0/24 -define lan-ntw = 172.16.0.0/24 -define net-ntw = 192.168.0.0/24 +define dmz-ntw = 172.17.0.0/24 # Plage réseau de la DMZ +define lan-ntw = 172.16.0.0/24 # Plage réseau du LAN +define net-ntw = 192.168.0.0/24 # Plage réseau, accès internet # Définition des IPs du pare-feu define firewall-net = 192.168.0.120 @@ -29,59 +29,59 @@ table ip ipfilter { chain prerouting { type filter hook prerouting priority filter; policy drop; - #Permet le passage des réponses aux requêtes acceptées + # Permet le passage des réponses aux requêtes acceptées ct state established, related accept - #Autorise le SSH, étape 2 + # Autorise le SSH, étape 2 tcp dport 22 iif $firewall-net accept - #Accepte les requêtes de ping si elles viennent du LAN, à destination de la DMZ, étape 4 + # Accepte les requêtes de ping si elles viennent du LAN, à destination de la DMZ, étape 4 icmp type echo-request iif {$lanif} oif {$dmzif} accept - #Accepte les réponses ping pour l'étape 4 + # Accepte les réponses ping pour l'étape 4 icmp type echo-reply accept - #Autorise les requêtes HTTP/HTTPS venant de la LAN - A vérifier + # Autorise les requêtes HTTP/HTTPS venant de la LAN - A vérifier tcp dport {$portproxy} ip saddr $lan-ntw ip daddr $proxy-dns accept - #Autorise les requêtes DNS venant de la LAN - A vérifier + # Autorise les requêtes DNS venant de la LAN - A vérifier udp dport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept udp sport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept - #Autorise les réponses DNS allant vers la LAN (étape 5) - A vérifier, expérimental + # Autorise les réponses DNS allant vers la LAN (étape 5) - A vérifier, expérimental udp dport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept udp sport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept - #Autorise les requêtes DNS depuis le serveur proxy vers sio.lan (gwsio) (étape 6) + # Autorise les requêtes DNS depuis le serveur proxy vers sio.lan (gwsio) (étape 6) tcp dport 53 ip saddr $proxy-dns ip daddr $router accept } chain system_in { type filter hook input priority filter; policy drop; - #Permet le passage des réponses aux requêtes acceptées + # Permet le passage des réponses aux requêtes acceptées ct state established, related accept - #Refuse les paquets sans états/qui viennent d'une connexion inconnue + # Refuse les paquets sans états/qui viennent d'une connexion inconnue ct state invalid, untracked drop - #Autorise le SSH, étape 2 + # Autorise le SSH, étape 2 tcp dport 22 iif $firewall-net accept - #Accepte les requêtes de ping si elles viennent du LAN, à destination de la DMZ, étape 4 + # Accepte les requêtes de ping si elles viennent du LAN, à destination de la DMZ, étape 4 icmp type echo-request iif {$lanif} oif {$dmzif} accept - #Accepte les réponses ping pour l'étape 4 + # Accepte les réponses ping pour l'étape 4 icmp type echo-reply accept - #Autorise les requêtes HTTP/HTTPS venant de la LAN (étape 5) - A vérifier + # Autorise les requêtes HTTP/HTTPS venant de la LAN (étape 5) - A vérifier tcp dport {$portproxy} ip saddr $lan-ntw ip daddr $proxy-dns accept - #Autorise les requêtes DNS venant de la LAN (étape 5) - A vérifier + # Autorise les requêtes DNS venant de la LAN (étape 5) - A vérifier udp dport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept udp sport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept - #Autorise les réponses DNS allant vers la LAN (étape 5) - A vérifier, expérimental + # Autorise les réponses DNS allant vers la LAN (étape 5) - A vérifier, expérimental udp dport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept udp sport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept } @@ -89,47 +89,47 @@ table ip ipfilter { chain routing { type filter hook forward priority filter; policy drop; - #Permet le passage des réponses aux requêtes acceptées + # Permet le passage des réponses aux requêtes acceptées ct state established, related accept - #Refuse les paquets sans états/qui viennent d'une connexion inconnue + # Refuse les paquets sans états/qui viennent d'une connexion inconnue ct state invalid, untracked drop - #Accepte les requêtes de ping si elles viennent du LAN, à destination de la DMZ, étape 4 + # Accepte les requêtes de ping si elles viennent du LAN, à destination de la DMZ, étape 4 icmp type echo-request iif {$lanif} oif {$dmzif} accept - #Autorise les requêtes HTTP/HTTPS venant de la LAN (étape 5) - A vérifier + # Autorise les requêtes HTTP/HTTPS venant de la LAN (étape 5) - A vérifier tcp dport {$portproxy} ip saddr $lan-ntw ip daddr $proxy-dns accept - #Autorise les requêtes DNS venant de la LAN (étape 5) - A vérifier + # Autorise les requêtes DNS venant de la LAN (étape 5) - A vérifier udp dport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept udp sport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept - #Autorise les réponses DNS allant vers la LAN (étape 5) - A vérifier, expérimental + # Autorise les réponses DNS allant vers la LAN (étape 5) - A vérifier, expérimental udp dport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept udp sport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept - #Autorise les requêtes DNS depuis le serveur proxy vers sio.lan (gwsio) (étape 6) + # Autorise les requêtes DNS depuis le serveur proxy vers sio.lan (gwsio) (étape 6) tcp dport 53 ip saddr $proxy-dns ip daddr $router accept } chain system_out { type filter hook output priority filter; policy drop; - #Autorise le SSH à destination de srv-dmz et srv-service si la requête vient du firewall, étape 3 - A vérifier + # Autorise le SSH à destination de srv-dmz et srv-service si la requête vient du firewall, étape 3 - A vérifier tcp sport 22 ip saddr {$firewall-dmz, $firewall-lan} ip daddr {$proxy-dns, $dhcp} accept - #Autorise le pare-feu à faire des pings vers toutes les machines, étape 4 - A vérifier + # Autorise le pare-feu à faire des pings vers toutes les machines, étape 4 - A vérifier icmp type echo-request ip saddr {$firewall-net, $firewall-lan, $firewall-dmz} accept - #Autorise les requêtes HTTP/HTTPS venant de la LAN (étape 5) - A vérifier + # Autorise les requêtes HTTP/HTTPS venant de la LAN (étape 5) - A vérifier tcp dport {$portproxy} ip saddr $lan-ntw ip daddr $proxy-dns accept - #Autorise les requêtes DNS venant de la LAN (étape 5) - A vérifier + # Autorise les requêtes DNS venant de la LAN (étape 5) - A vérifier udp dport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept udp sport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept - #Autorise les réponses DNS allant vers la LAN (étape 5) - A vérifier, expérimental + # Autorise les réponses DNS allant vers la LAN (étape 5) - A vérifier, expérimental udp dport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept udp sport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept } @@ -137,33 +137,33 @@ table ip ipfilter { chain postrouting { type filter hook postrouting priority filter; policy drop; - #Permet le passage des réponses aux requêtes acceptées + # Permet le passage des réponses aux requêtes acceptées ct state established, related accept - #Refuse les paquets sans états/qui viennent d'une connexion inconnue + # Refuse les paquets sans états/qui viennent d'une connexion inconnue ct state invalid, untracked drop - #Autorise le SSH à destination de srv-dmz et srv-service si la requête vient du firewall, étape 3 - A vérifier + # Autorise le SSH à destination de srv-dmz et srv-service si la requête vient du firewall, étape 3 - A vérifier tcp sport 22 ip saddr {$firewall-dmz, $firewall-lan} ip daddr {$proxy-dns, $dhcp} accept - #Accepte les requêtes de ping si elles viennent du LAN, à destination de la DMZ, étape 4 + # Accepte les requêtes de ping si elles viennent du LAN, à destination de la DMZ, étape 4 icmp type echo-request iif {$lanif} oif {$dmzif} accept - #Autorise le pare-feu à faire des pings vers toutes les machines, étape 4 - A vérifier + # Autorise le pare-feu à faire des pings vers toutes les machines, étape 4 - A vérifier icmp type echo-request ip saddr {$firewall-net, $firewall-lan, $firewall-dmz} accept - #Autorise les requêtes HTTP/HTTPS venant de la LAN (étape 5) - A vérifier + # Autorise les requêtes HTTP/HTTPS venant de la LAN (étape 5) - A vérifier tcp dport {$portproxy} ip saddr $lan-ntw ip daddr $proxy-dns accept - #Autorise les requêtes DNS venant de la LAN (étape 5) - A vérifier + # Autorise les requêtes DNS venant de la LAN (étape 5) - A vérifier udp dport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept udp sport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept - #Autorise les réponses DNS allant vers la LAN (étape 5) - A vérifier, expérimental + # Autorise les réponses DNS allant vers la LAN (étape 5) - A vérifier, expérimental udp dport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept udp sport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept - #Autorise les requêtes DNS depuis le serveur proxy vers sio.lan (gwsio) (étape 6) + # Autorise les requêtes DNS depuis le serveur proxy vers sio.lan (gwsio) (étape 6) tcp dport 53 ip saddr $proxy-dns ip daddr $router accept } } \ No newline at end of file diff --git a/sisr1/tp08_evolution_infrastructure/rules_progressive/firewall_7 b/sisr1/tp08_evolution_infrastructure/rules_progressive/firewall_7 index 0394de0..42449e3 100644 --- a/sisr1/tp08_evolution_infrastructure/rules_progressive/firewall_7 +++ b/sisr1/tp08_evolution_infrastructure/rules_progressive/firewall_7 @@ -1,12 +1,12 @@ # Définition des interfaces avec un nom -define netif = enp0s3 -define dmzif = enp0s8 -define lanif = enp0s9 +define netif = enp0s3 # Interface avec accès internet extérieur +define dmzif = enp0s8 # Interface branchée à la DMZ +define lanif = enp0s9 # Interface branchée au LAN # Définition des réseaux -define dmz-ntw = 172.17.0.0/24 -define lan-ntw = 172.16.0.0/24 -define net-ntw = 192.168.0.0/24 +define dmz-ntw = 172.17.0.0/24 # Plage réseau de la DMZ +define lan-ntw = 172.16.0.0/24 # Plage réseau du LAN +define net-ntw = 192.168.0.0/24 # Plage réseau, accès internet # Définition des IPs du pare-feu define firewall-net = 192.168.0.120 @@ -29,116 +29,116 @@ table ip ipfilter { chain prerouting { type filter hook prerouting priority filter; policy drop; - #Permet le passage des réponses aux requêtes acceptées + # Permet le passage des réponses aux requêtes acceptées ct state established, related accept - #Autorise le SSH, étape 2 + # Autorise le SSH, étape 2 tcp dport 22 iif $firewall-net accept - #Accepte les requêtes de ping si elles viennent du LAN, à destination de la DMZ, étape 4 + # Accepte les requêtes de ping si elles viennent du LAN, à destination de la DMZ, étape 4 icmp type echo-request iif {$lanif} oif {$dmzif} accept - #Accepte les réponses ping pour l'étape 4 + # Accepte les réponses ping pour l'étape 4 icmp type echo-reply accept - #Autorise les requêtes HTTP/HTTPS venant de la LAN - A vérifier + # Autorise les requêtes HTTP/HTTPS venant de la LAN - A vérifier tcp dport {$portproxy} ip saddr $lan-ntw ip daddr $proxy-dns accept - #Autorise les requêtes DNS venant de la LAN - A vérifier + # Autorise les requêtes DNS venant de la LAN - A vérifier udp dport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept udp sport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept - #Autorise les réponses DNS allant vers la LAN (étape 5) - A vérifier, expérimental + # Autorise les réponses DNS allant vers la LAN (étape 5) - A vérifier, expérimental udp dport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept udp sport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept - #Autorise les requêtes DNS depuis le serveur proxy vers sio.lan (gwsio) (étape 6) + # Autorise les requêtes DNS depuis le serveur proxy vers sio.lan (gwsio) (étape 6) tcp dport 53 ip saddr $proxy-dns ip daddr $router accept - #Autorise les requêtes vers internet si elles viennent du serveur proxy (étape 7) - A vérifier + # Autorise les requêtes vers internet si elles viennent du serveur proxy (étape 7) - A vérifier ip saddr $proxy-dns daddr $router accept } chain system_in { type filter hook input priority filter; policy drop; - #Permet le passage des réponses aux requêtes acceptées + # Permet le passage des réponses aux requêtes acceptées ct state established, related accept - #Refuse les paquets sans états/qui viennent d'une connexion inconnue + # Refuse les paquets sans états/qui viennent d'une connexion inconnue ct state invalid, untracked drop - #Autorise le SSH, étape 2 + # Autorise le SSH, étape 2 tcp dport 22 iif $firewall-net accept - #Accepte les requêtes de ping si elles viennent du LAN, à destination de la DMZ, étape 4 + # Accepte les requêtes de ping si elles viennent du LAN, à destination de la DMZ, étape 4 icmp type echo-request iif {$lanif} oif {$dmzif} accept - #Accepte les réponses ping pour l'étape 4 + # Accepte les réponses ping pour l'étape 4 icmp type echo-reply accept - #Autorise les requêtes HTTP/HTTPS venant de la LAN (étape 5) - A vérifier + # Autorise les requêtes HTTP/HTTPS venant de la LAN (étape 5) - A vérifier tcp dport {$portproxy} ip saddr $lan-ntw ip daddr $proxy-dns accept - #Autorise les requêtes DNS venant de la LAN (étape 5) - A vérifier + # Autorise les requêtes DNS venant de la LAN (étape 5) - A vérifier udp dport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept udp sport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept - #Autorise les réponses DNS allant vers la LAN (étape 5) - A vérifier, expérimental + # Autorise les réponses DNS allant vers la LAN (étape 5) - A vérifier, expérimental udp dport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept udp sport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept - #Autorise les requêtes vers internet si elles viennent du serveur proxy (étape 7) - A vérifier + # Autorise les requêtes vers internet si elles viennent du serveur proxy (étape 7) - A vérifier ip saddr $proxy-dns daddr $router accept } chain routing { type filter hook forward priority filter; policy drop; - #Permet le passage des réponses aux requêtes acceptées + # Permet le passage des réponses aux requêtes acceptées ct state established, related accept - #Refuse les paquets sans états/qui viennent d'une connexion inconnue + # Refuse les paquets sans états/qui viennent d'une connexion inconnue ct state invalid, untracked drop - #Accepte les requêtes de ping si elles viennent du LAN, à destination de la DMZ, étape 4 + # Accepte les requêtes de ping si elles viennent du LAN, à destination de la DMZ, étape 4 icmp type echo-request iif {$lanif} oif {$dmzif} accept - #Autorise les requêtes HTTP/HTTPS venant de la LAN (étape 5) - A vérifier + # Autorise les requêtes HTTP/HTTPS venant de la LAN (étape 5) - A vérifier tcp dport {$portproxy} ip saddr $lan-ntw ip daddr $proxy-dns accept - #Autorise les requêtes DNS venant de la LAN (étape 5) - A vérifier + # Autorise les requêtes DNS venant de la LAN (étape 5) - A vérifier udp dport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept udp sport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept - #Autorise les réponses DNS allant vers la LAN (étape 5) - A vérifier, expérimental + # Autorise les réponses DNS allant vers la LAN (étape 5) - A vérifier, expérimental udp dport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept udp sport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept - #Autorise les requêtes DNS depuis le serveur proxy vers sio.lan (gwsio) (étape 6) + # Autorise les requêtes DNS depuis le serveur proxy vers sio.lan (gwsio) (étape 6) tcp dport 53 ip saddr $proxy-dns ip daddr $router accept - #Autorise les requêtes vers internet si elles viennent du serveur proxy (étape 7) - A vérifier + # Autorise les requêtes vers internet si elles viennent du serveur proxy (étape 7) - A vérifier ip saddr $proxy-dns daddr $router accept } chain system_out { type filter hook output priority filter; policy drop; - #Autorise le SSH à destination de srv-dmz et srv-service si la requête vient du firewall, étape 3 - A vérifier + # Autorise le SSH à destination de srv-dmz et srv-service si la requête vient du firewall, étape 3 - A vérifier tcp sport 22 ip saddr {$firewall-dmz, $firewall-lan} ip daddr {$proxy-dns, $dhcp} accept - #Autorise le pare-feu à faire des pings vers toutes les machines, étape 4 - A vérifier + # Autorise le pare-feu à faire des pings vers toutes les machines, étape 4 - A vérifier icmp type echo-request ip saddr {$firewall-net, $firewall-lan, $firewall-dmz} accept - #Autorise les requêtes HTTP/HTTPS venant de la LAN (étape 5) - A vérifier + # Autorise les requêtes HTTP/HTTPS venant de la LAN (étape 5) - A vérifier tcp dport {$portproxy} ip saddr $lan-ntw ip daddr $proxy-dns accept - #Autorise les requêtes DNS venant de la LAN (étape 5) - A vérifier + # Autorise les requêtes DNS venant de la LAN (étape 5) - A vérifier udp dport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept udp sport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept - #Autorise les réponses DNS allant vers la LAN (étape 5) - A vérifier, expérimental + # Autorise les réponses DNS allant vers la LAN (étape 5) - A vérifier, expérimental udp dport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept udp sport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept } @@ -146,36 +146,37 @@ table ip ipfilter { chain postrouting { type filter hook postrouting priority filter; policy drop; - #Permet le passage des réponses aux requêtes acceptées + # Permet le passage des réponses aux requêtes acceptées ct state established, related accept - #Refuse les paquets sans états/qui viennent d'une connexion inconnue + # Refuse les paquets sans états/qui viennent d'une connexion inconnue ct state invalid, untracked drop - #Autorise le SSH à destination de srv-dmz et srv-service si la requête vient du firewall, étape 3 - A vérifier + # Autorise le SSH à destination de srv-dmz et srv-service si la requête vient du firewall, étape 3 - A vérifier tcp sport 22 ip saddr {$firewall-dmz, $firewall-lan} ip daddr {$proxy-dns, $dhcp} accept - #Accepte les requêtes de ping si elles viennent du LAN, à destination de la DMZ, étape 4 + # Accepte les requêtes de ping si elles viennent du LAN, à destination de la DMZ, étape 4 icmp type echo-request iif {$lanif} oif {$dmzif} accept - #Autorise le pare-feu à faire des pings vers toutes les machines, étape 4 - A vérifier + # Autorise le pare-feu à faire des pings vers toutes les machines, étape 4 - A vérifier icmp type echo-request ip saddr {$firewall-net, $firewall-lan, $firewall-dmz} accept - #Autorise les requêtes HTTP/HTTPS venant de la LAN (étape 5) - A vérifier + # Autorise les requêtes HTTP/HTTPS venant de la LAN (étape 5) - A vérifier tcp dport {$portproxy} ip saddr $lan-ntw ip daddr $proxy-dns accept - #Autorise les requêtes DNS venant de la LAN (étape 5) - A vérifier + # Autorise les requêtes DNS venant de la LAN (étape 5) - A vérifier udp dport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept udp sport 53 ip saddr $lan-ntw ip daddr $proxy-dns accept - #Autorise les réponses DNS allant vers la LAN (étape 5) - A vérifier, expérimental + # Autorise les réponses DNS allant vers la LAN (étape 5) - A vérifier, expérimental udp dport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept udp sport 53 ip daddr $lan-ntw ip saddr $proxy-dns accept - #Autorise les requêtes DNS depuis le serveur proxy vers sio.lan (gwsio) (étape 6) + # Autorise les requêtes DNS depuis le serveur proxy vers sio.lan (gwsio) (étape 6) tcp dport 53 ip saddr $proxy-dns ip daddr $router accept - #Autorise les requêtes vers internet si elles viennent du serveur proxy (étape 7) - A vérifier + # Autorise les requêtes vers internet si elles viennent du serveur proxy (étape 7) - A vérifier ip saddr $proxy-dns daddr $router accept } + } \ No newline at end of file