forked from guillaume.emorine/siotp
Modifié : sisr1/tp08/TP08_evo_infra.odt
Nouveau fichier : sisr1/tp08/TP08_evo_infra.pdf Supprimé : sisr1/tp08/firewall.txt Nouveau fichier : sisr1/tp08/firewall_regles.txt
This commit is contained in:
guillaume.emorine
parent
8eff0bafb7
commit
dfa9107391
1
sisr1/tp08/.~lock.TP08_evo_infra.odt#
Normal file
1
sisr1/tp08/.~lock.TP08_evo_infra.odt#
Normal file
@ -0,0 +1 @@
|
|||||||
|
,guillaume.emorine,lab213-32,11.04.2024 14:09,file:///home/guillaume.emorine/.config/libreoffice/4;
|
||||||
Binary file not shown.
BIN
sisr1/tp08/TP08_evo_infra.pdf
Normal file
BIN
sisr1/tp08/TP08_evo_infra.pdf
Normal file
Binary file not shown.
@ -1 +0,0 @@
|
|||||||
# Etape 1
|
|
||||||
109
sisr1/tp08/firewall_regles.txt
Normal file
109
sisr1/tp08/firewall_regles.txt
Normal file
@ -0,0 +1,109 @@
|
|||||||
|
# Définition des interfaces avec un nom
|
||||||
|
define netif = enp0s3
|
||||||
|
define dmzif = enp0s8
|
||||||
|
define lanif = enp0s9
|
||||||
|
|
||||||
|
# Définition des réseaux
|
||||||
|
define dmz-ntw = 172.17.0.0/24
|
||||||
|
define lan-ntw = 172.16.0.0/24
|
||||||
|
define net-ntw = 192.168.0.0/24
|
||||||
|
|
||||||
|
# Définition des IPs du pare-feu
|
||||||
|
define firewall-net = 192.168.0.120
|
||||||
|
define firewall-lan = 172.16.0.254
|
||||||
|
define firewall-dmz = 172.17.0.254
|
||||||
|
|
||||||
|
# Définition des choses importantes
|
||||||
|
define proxy-dns = 172.17.0.1 # IP de srv-dmz
|
||||||
|
define dns-school = {10.121.38.7 , 10.121.38.8} # Serveurs DNS du lycée
|
||||||
|
define portproxy = 1080 # Port utilisé par le proxy qu'on va configurer
|
||||||
|
define dhcp = 172.16.0.1 # IP de srv-service
|
||||||
|
define pcsecure = 172.16.0.10 # IP de pc-secure
|
||||||
|
define router = 192.168.0.1 # IP de GWSIO
|
||||||
|
define lan-dhcp = 172.16.0.100-172.16.0.200 # IPs utilisées en plage DHCP
|
||||||
|
|
||||||
|
# Début des tables et des chaînes
|
||||||
|
|
||||||
|
table ip ipfilter{
|
||||||
|
|
||||||
|
chain prerouting {
|
||||||
|
type filter hook prerouting priority filter; policy drop;
|
||||||
|
|
||||||
|
#Permet le passage des réponses aux requêtes acceptées
|
||||||
|
ct state established, related accept
|
||||||
|
|
||||||
|
#Autorise le SSH, étape 2
|
||||||
|
tcp dport 22 iif $firewall-net accept
|
||||||
|
|
||||||
|
#Accepte les requêtes de ping si elles viennent du LAN, à destination de la DMZ, étape 4
|
||||||
|
icmp type echo-request iif {$lanif} oif {$dmzif} accept
|
||||||
|
|
||||||
|
#Accepte les réponses ping pour l'étape 4
|
||||||
|
icmp type echo-reply accept
|
||||||
|
|
||||||
|
}
|
||||||
|
|
||||||
|
chain system_in {
|
||||||
|
type filter hook input priority filter; policy drop;
|
||||||
|
|
||||||
|
#Permet le passage des réponses aux requêtes acceptées
|
||||||
|
ct state established, related accept
|
||||||
|
|
||||||
|
#Refuse les paquets sans états/qui viennent d'une connexion inconnue
|
||||||
|
ct state invalid, untracked drop
|
||||||
|
|
||||||
|
#Autorise le SSH, étape 2
|
||||||
|
tcp dport 22 iif $firewall-net accept
|
||||||
|
|
||||||
|
#Accepte les requêtes de ping si elles viennent du LAN, à destination de la DMZ, étape 4
|
||||||
|
icmp type echo-request iif {$lanif} oif {$dmzif} accept
|
||||||
|
|
||||||
|
#Accepte les réponses ping pour l'étape 4
|
||||||
|
icmp type echo-reply accept
|
||||||
|
|
||||||
|
}
|
||||||
|
|
||||||
|
chain routing {
|
||||||
|
type filter hook forward priority filter; policy drop;
|
||||||
|
|
||||||
|
#Permet le passage des réponses aux requêtes acceptées
|
||||||
|
ct state established, related accept
|
||||||
|
|
||||||
|
#Refuse les paquets sans états/qui viennent d'une connexion inconnue
|
||||||
|
ct state invalid, untracked drop
|
||||||
|
|
||||||
|
#Accepte les requêtes de ping si elles viennent du LAN, à destination de la DMZ, étape 4
|
||||||
|
icmp type echo-request iif {$lanif} oif {$dmzif} accept
|
||||||
|
|
||||||
|
}
|
||||||
|
|
||||||
|
chain system_out {
|
||||||
|
type filter hook output priority filter; policy drop;
|
||||||
|
|
||||||
|
#Autorise le SSH à destination de srv-dmz et srv-service si la requête vient du firewall, étape 3
|
||||||
|
tcp sport 22 ip saddr {$firewall-dmz, $firewall-lan} ip daddr {$proxy-dns, $dhcp} accept
|
||||||
|
|
||||||
|
#Autorise le pare-feu à faire des pings vers toutes les machines, étape 4
|
||||||
|
icmp type echo-request ip saddr {$firewall-net, $firewall-lan, $firewall-dmz} accept
|
||||||
|
|
||||||
|
}
|
||||||
|
|
||||||
|
chain postrouting {
|
||||||
|
type filter hook postrouting priority filter; policy drop;
|
||||||
|
|
||||||
|
#Permet le passage des réponses aux requêtes acceptées
|
||||||
|
ct state established, related accept
|
||||||
|
|
||||||
|
#Refuse les paquets sans états/qui viennent d'une connexion inconnue
|
||||||
|
ct state invalid, untracked drop
|
||||||
|
|
||||||
|
#Autorise le SSH à destination de srv-dmz et srv-service si la requête vient du firewall, étape 3
|
||||||
|
tcp sport 22 ip saddr {$firewall-dmz, $firewall-lan} ip daddr {$proxy-dns, $dhcp} accept
|
||||||
|
|
||||||
|
#Accepte les requêtes de ping si elles viennent du LAN, à destination de la DMZ, étape 4
|
||||||
|
icmp type echo-request iif {$lanif} oif {$dmzif} accept
|
||||||
|
|
||||||
|
#Autorise le pare-feu à faire des pings vers toutes les machines, étape 4
|
||||||
|
icmp type echo-request ip saddr {$firewall-net, $firewall-lan, $firewall-dmz} accept
|
||||||
|
|
||||||
|
}
|
||||||
Loading…
x
Reference in New Issue
Block a user