SlideShare une entreprise Scribd logo
1  sur  17
Télécharger pour lire hors ligne
Page 1 
Powerpoint Templates
Page 2 
I. INTRODUCTION 
II. FONCTIONNEMENT DE IP-TABLES 
1. Qu’est ce IP-TABLES? 
2. Principe 
3. les Tables , les chaines et les cibles 
4. Diagramme de traitement des paquet 
III. DEMONSTRATION
De nos jours, l’une des méthodes fondamentales de 
sécurisation des réseaux informatiques est le filtrage 
des paquets. 
Aujourd’hui tout le monde sait ce que c’est qu’un firewall 
ainsi que son utilité sur un réseau, un serveur ou même 
un ordinateur personnel 
Depuis la version 2.4, Linux contient un module destiné 
au filtrage réseau: Netfilter. Il se configure au moyen 
d'un outil appelé iptables. 
Page 3
IPTables est un outil Linux (exclusivement) pour 
gérer le pare-feu qui est intégré au noyau Linux 2.4 
(et supérieur). L'architecture du noyau pour le 
système de pare-feu s'appelle 'netfilter'. 
Netfilter est un module, et fonctionne en mode 
Noyau. C’est lui qui intercepte et manipule les 
paquets IP avant et après le routage. 
• IPTables est la commande qui permet de 
Page 4 
configurer Netfilter en espace Utilisateur.
• Lorsque la carte réseau reçoit un paquet celui-ci 
Page 5 
est transmis à la partie netfilter du noyau. 
• Netfilter va ensuite étudier ce paquet (les entêtes 
et le contenu) et en se basant sur des règles que 
l'administrateur aura défini, il va choisir de laisser 
passer le paquet intact, de modifier ce paquet, 
de le transmettre à une autre machine ou encore 
d'interdire le passage.
Tous les paquets inspectés par Netfilter passent à 
travers des tables de traitement prédéfinies (queues). 
est constituée d’un nombre arbitraire et non 
est une suite de règles qui sont prises dans 
l'ordre, dès qu'une règle correspond à un paquet, elle est 
déclenchée, et la suite de la chaîne est ignorée. 
Page 6 
limité de chaînes. 
est l’endroit où sera envoyé le paquet si le 
motif de reconnaissance de là règle correspond et qui 
donnera l’action a exécuter. 
Nombre variable de critère permettant d’évaluer un paquet
Page 7 
Tables Il existe trois principales tables 
Table Description 
filter Cette table permet de filtrer les paquets. 
Typiquement ce sera pour les accepter ou non. 
nat Avec cette table, on peut réaliser des translations 
d'adresse (ou de ports). 
mangle Règle pour la modification des paquets. Permet de 
marquer les paquets (MARK), Modifier leur TTL, leur 
TOS. On peut agir sur l’en-tête du paquet ainsi 
qu’aux champs qui lui sont associé par le système 
La table Raw est principalement utilisée pour placer des marques sur les paquets 
qui ne doivent pas être vérifiés par le système de traçage de connexion. Ceci est 
effectué en utilisant la cible NOTRACK sur le paquet. Si une connexion rencontre 
une cible NOTRACK, conntrack ne tracera pas cette connexion
Page 8 
Ce sont elles qui contiendront 
les règles à appliquer aux paquets. 
Chaines 
Chaînes de Netfilter 
Chaîne Table Description 
PREROUTING 
Mangle, nat 
Par cette chaîne passeront les 
paquets entrant dans la machine 
avant routage. 
INPUT 
Filter, mangle 
Cette chaîne traitera les paquets 
entrants avant qu'ils ne soient 
passées aux couches supérieures 
(les applications). 
FORWARD 
Filter, mangle 
Ce sont les paquets uniquement 
transmis par la machine sans que 
les applications n'en aient 
connaissance. 
OUTPUT 
filter, nat, mangle 
Cette chaîne sera appelée pour 
des paquets envoyés par des 
programmes présents sur la 
machine. 
POSTROUTING 
Mangle, nat 
Les paquets prêts à être envoyés 
(soit transmis, soit générés) seront 
pris en charge par cette chaîne.
Page 9 
Il s'agit du traitement que l'on décide 
d'appliquer au paquet Cible 
Cible Description 
ACCEPT Les paquets envoyés vers cette cible seront tout simplement acceptés et pourront 
poursuivre leur cheminement au travers des couches réseaux. 
DROP Cette cible permet de jeter des paquets qui seront donc ignorés. 
REJECT 
Permet d’envoyer une réponse à l’émetteur pour lui signaler que son paquet a été 
refusé. 
LOG 
Demande au noyau d’enregistrer des informations sur le paquet courant. Cela se fera 
généralement dans le fichier /var/log/messages (selon la configuration du programme 
syslogd). 
MASQUERADE 
Cible valable uniquement dans la chaîne POSTROUTING de la table NAT Elle 
change l’adresse IP de l’émetteur par celle courante de la machine pour l’interface 
spécifiée. Cela permet de masquer des machines et de faire par exemple du partage 
de connexion. 
SNAT 
Egalement valable pour la chaîne POSTROUTING de la table NAT seulement. Elle 
modifie aussi la valeur de l’adresse IP de l’émetteur en la remplaçant par la valeur 
fixe spécifiée. 
DNAT 
Valable uniquement pour les chaînes PREROUTING et OUTPUT de la table NAT. 
Elle modifie la valeur de l’adresse IP du destinataire en la remplaçant par la valeur 
fixe spécifiée. 
RETURN 
Utile dans les chaînes utilisateurs. Cette cible permet de revenir à la chaîne 
appelante. Si RETURN est utilisé dans une des chaînes de base précédente, cela est 
équivalent à l’utilisation de sa cible par défaut.
Page 10 
Les options d’ IPtables 
Options Rôle 
-L Affiche toutes les règles de la chaîne indiquée. 
-F Flush. Supprime toutes les règles de la chaîne. Si aucune chaîne n'est 
spécifiée, toutes celles de la table sont vidées. 
-N Crée une nouvelle chaîne utilisateur avec le nom passé en paramètre. 
-X Supprime la chaîne utilisateur. Si aucun nom n'est spécifié, toutes les 
chaînes utilisateur seront supprimées 
-P Modifie la politique par défaut de la chaîne. Il faut indiquer en plus comme 
paramètre la cible à utiliser. 
-A Ajoute une règle à la fin de la chaîne spécifiée. 
-I Insère la règle avant celle indiquée. Cette place est précisée par un 
numéro qui fait suite au nom de la chaîne. La première porte le numéro 1. 
Si aucun numéro n'est indiqué, la règle est insérée au début. 
-D Supprime une règle de la chaîne. Soit un numéro peut être précisé, soit la 
définition de la chaîne à supprimer (ses tests de concordance et sa cible). 
-j <cible> Saute à la cible spécifiée lorsque le paquet correspond à la règle 
-p < type-protocole> Protocole à surveiller. Le type inclut icmp, tcp, udp, http, etc. 
-s < addresse-ip> Adresse IP source à surveiller. 
-d < addresse-ip > Adresse IP destination à surveiller. 
-i <nom-interface> Interface d’entrée à surveiller (le paquet entre par cette interface). 
-o < nom-interface > Interface de sortie à surveiller (le paquet sort par cette interface).
Page 11
• # iptables –t filter -A INPUT –p TCP –S 192.168.3.1 –j DROP 
#iptables –t nat –A PREROUTING –i eth0 –p tcp –dport 80 
Page 12 
–j DNAT/ ---to-destination 192.168.2.1:8080 
• -t nat [filter]  table Nat ou filter 
• -A Prerouting on ajoute une règle en (entrée d’interface) 
• -i eth0  on précise le sens (–i=input) et la carte réseau 
• -p TCP  on indique le protocole TCP 
• --dport 80  le port de destination prévu à l’origine. 
• -J  jump, quel action on va faire subir au paquet. 
• DNAT  modification de la destination 
• -to—destination 192.168.2.1:80  on précise la nouvelle destination
Page 13
Page 14 
.
Page 15
Page 16 
Exemple de script iptables 
(à stocker dans /etc/init.d/monIPTables 
#!/bin/bash 
# Script iptables by BeAvEr. 
## Règles iptables. 
## On flush iptables. 
/sbin/iptables -F 
## On supprime toutes les chaînes utilisateurs. 
/sbin/iptables -X 
## On drop tout le trafic entrant. 
/sbin/iptables -P INPUT DROP 
## On drop tout le trafic sortant. 
/sbin/iptables -P OUTPUT DROP 
## On drop le forward. 
/sbin/iptables -P FORWARD DROP 
## On drop les scans XMAS et NULL. 
/sbin/iptables -A INPUT -p tcp --tcp-flags FIN,URG,PSH FIN,URG,PSH -j DROP 
/sbin/iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP 
/sbin/iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP 
/sbin/iptables -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j DROP 
## Dropper silencieusement tous les paquets broadcastés. 
/sbin/iptables -A INPUT -m pkttype --pkt-type broadcast -j DROP 
## Permettre à une connexion ouverte de recevoir du trafic en entrée. 
/sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT 
## Permettre à une connexion ouverte de recevoir du trafic en sortie. 
/sbin/iptables -A OUTPUT -m state ! --state INVALID -j ACCEPT 
## On accepte la boucle locale en entrée. /sbin/iptables -I INPUT -i lo -j ACCEPT 
## On log les paquets en entrée. /sbin/iptables -A INPUT -j LOG 
## On log les paquets forward. /sbin/iptables -A FORWARD -j LOG 
exit 0
Page 17 
Je vous remercie 
pour votre attention 
Questions!!?

Contenu connexe

Tendances

Modélisation de données pour MongoDB
Modélisation de données pour MongoDBModélisation de données pour MongoDB
Modélisation de données pour MongoDBMongoDB
 
Simulation d'un réseau Ad-Hoc sous NS2
Simulation d'un réseau Ad-Hoc sous NS2Simulation d'un réseau Ad-Hoc sous NS2
Simulation d'un réseau Ad-Hoc sous NS2Rihab Chebbah
 
Rapport- Conception et réalisation d'une plateforme social learning
Rapport- Conception et réalisation d'une plateforme social learningRapport- Conception et réalisation d'une plateforme social learning
Rapport- Conception et réalisation d'une plateforme social learningRouâa Ben Hammouda
 
Rapport mise en place d'un sevrer VPN .
   Rapport mise en place d'un sevrer VPN .   Rapport mise en place d'un sevrer VPN .
Rapport mise en place d'un sevrer VPN .Mouad Lousimi
 
Introduction au Software Defined Networking (SDN)
Introduction au Software Defined Networking (SDN)Introduction au Software Defined Networking (SDN)
Introduction au Software Defined Networking (SDN)Edouard DEBERDT
 
Mise en place de deux réseaux LAN interconnectés par un réseau WAN
Mise en place de deux réseaux LAN interconnectés par un réseau WANMise en place de deux réseaux LAN interconnectés par un réseau WAN
Mise en place de deux réseaux LAN interconnectés par un réseau WANGhassen Chaieb
 
Architecture Client-Serveur
Architecture Client-Serveur Architecture Client-Serveur
Architecture Client-Serveur Khalid EDAIG
 
eServices-Tp1: Web Services
eServices-Tp1: Web ServiceseServices-Tp1: Web Services
eServices-Tp1: Web ServicesLilia Sfaxi
 
Architectures 3-tiers (Web)
Architectures 3-tiers (Web)Architectures 3-tiers (Web)
Architectures 3-tiers (Web)Heithem Abbes
 
CAHIER DES CHARGES GESTION DES STOCKS.docx
CAHIER DES CHARGES GESTION DES STOCKS.docxCAHIER DES CHARGES GESTION DES STOCKS.docx
CAHIER DES CHARGES GESTION DES STOCKS.docxLotfiAKTOUF
 
Cours systèmes temps réel partie 2 Prof. Khalifa MANSOURI
Cours  systèmes temps réel partie 2 Prof. Khalifa MANSOURICours  systèmes temps réel partie 2 Prof. Khalifa MANSOURI
Cours systèmes temps réel partie 2 Prof. Khalifa MANSOURIMansouri Khalifa
 
Presentation DevOps : enjeux , objectifs, consequences
Presentation DevOps : enjeux , objectifs, consequencesPresentation DevOps : enjeux , objectifs, consequences
Presentation DevOps : enjeux , objectifs, consequencesStéphane Di Cioccio
 
Rapport PFE 2011 Zimbra
Rapport PFE 2011 ZimbraRapport PFE 2011 Zimbra
Rapport PFE 2011 ZimbraAyoub Kochbati
 
Rapport pfe talan_2018_donia_hammami
Rapport pfe talan_2018_donia_hammamiRapport pfe talan_2018_donia_hammami
Rapport pfe talan_2018_donia_hammamiDonia Hammami
 
Presentation pfe Système de gestion des rendez-vous médicaux
Presentation pfe Système de gestion des rendez-vous médicauxPresentation pfe Système de gestion des rendez-vous médicaux
Presentation pfe Système de gestion des rendez-vous médicauxFehmi Arbi
 
Mise en place d'un wifi securise
Mise en place d'un wifi securiseMise en place d'un wifi securise
Mise en place d'un wifi securiseJUNIOR SORO
 

Tendances (20)

Modélisation de données pour MongoDB
Modélisation de données pour MongoDBModélisation de données pour MongoDB
Modélisation de données pour MongoDB
 
Présentation VOIP
Présentation  VOIPPrésentation  VOIP
Présentation VOIP
 
Simulation d'un réseau Ad-Hoc sous NS2
Simulation d'un réseau Ad-Hoc sous NS2Simulation d'un réseau Ad-Hoc sous NS2
Simulation d'un réseau Ad-Hoc sous NS2
 
Rapport- Conception et réalisation d'une plateforme social learning
Rapport- Conception et réalisation d'une plateforme social learningRapport- Conception et réalisation d'une plateforme social learning
Rapport- Conception et réalisation d'une plateforme social learning
 
Rapport mise en place d'un sevrer VPN .
   Rapport mise en place d'un sevrer VPN .   Rapport mise en place d'un sevrer VPN .
Rapport mise en place d'un sevrer VPN .
 
Introduction au Software Defined Networking (SDN)
Introduction au Software Defined Networking (SDN)Introduction au Software Defined Networking (SDN)
Introduction au Software Defined Networking (SDN)
 
Mise en place de deux réseaux LAN interconnectés par un réseau WAN
Mise en place de deux réseaux LAN interconnectés par un réseau WANMise en place de deux réseaux LAN interconnectés par un réseau WAN
Mise en place de deux réseaux LAN interconnectés par un réseau WAN
 
Intro to docker
Intro to dockerIntro to docker
Intro to docker
 
Architecture Client-Serveur
Architecture Client-Serveur Architecture Client-Serveur
Architecture Client-Serveur
 
eServices-Tp1: Web Services
eServices-Tp1: Web ServiceseServices-Tp1: Web Services
eServices-Tp1: Web Services
 
Architectures 3-tiers (Web)
Architectures 3-tiers (Web)Architectures 3-tiers (Web)
Architectures 3-tiers (Web)
 
CAHIER DES CHARGES GESTION DES STOCKS.docx
CAHIER DES CHARGES GESTION DES STOCKS.docxCAHIER DES CHARGES GESTION DES STOCKS.docx
CAHIER DES CHARGES GESTION DES STOCKS.docx
 
Rapport finiale
Rapport finialeRapport finiale
Rapport finiale
 
Cours systèmes temps réel partie 2 Prof. Khalifa MANSOURI
Cours  systèmes temps réel partie 2 Prof. Khalifa MANSOURICours  systèmes temps réel partie 2 Prof. Khalifa MANSOURI
Cours systèmes temps réel partie 2 Prof. Khalifa MANSOURI
 
Presentation DevOps : enjeux , objectifs, consequences
Presentation DevOps : enjeux , objectifs, consequencesPresentation DevOps : enjeux , objectifs, consequences
Presentation DevOps : enjeux , objectifs, consequences
 
projet sur le vpn presentation
projet sur le vpn presentationprojet sur le vpn presentation
projet sur le vpn presentation
 
Rapport PFE 2011 Zimbra
Rapport PFE 2011 ZimbraRapport PFE 2011 Zimbra
Rapport PFE 2011 Zimbra
 
Rapport pfe talan_2018_donia_hammami
Rapport pfe talan_2018_donia_hammamiRapport pfe talan_2018_donia_hammami
Rapport pfe talan_2018_donia_hammami
 
Presentation pfe Système de gestion des rendez-vous médicaux
Presentation pfe Système de gestion des rendez-vous médicauxPresentation pfe Système de gestion des rendez-vous médicaux
Presentation pfe Système de gestion des rendez-vous médicaux
 
Mise en place d'un wifi securise
Mise en place d'un wifi securiseMise en place d'un wifi securise
Mise en place d'un wifi securise
 

En vedette

Iptables Configuration
Iptables ConfigurationIptables Configuration
Iptables Configurationstom123
 
SSH - Secure Shell
SSH - Secure ShellSSH - Secure Shell
SSH - Secure ShellSouhaib El
 
Securisation des services B2B à l''aide d'IPSEC
Securisation des services B2B à l''aide d'IPSECSecurisation des services B2B à l''aide d'IPSEC
Securisation des services B2B à l''aide d'IPSECOlga Ambani
 
Competitic sécurite informatique - numerique en entreprise
Competitic   sécurite informatique - numerique en entrepriseCompetitic   sécurite informatique - numerique en entreprise
Competitic sécurite informatique - numerique en entrepriseCOMPETITIC
 
Mini projet de reseaux de communication
Mini projet  de reseaux de communicationMini projet  de reseaux de communication
Mini projet de reseaux de communicationOlga Ambani
 
ssh, bien plus qu'un telnet sécurisé
ssh, bien plus qu'un telnet sécuriséssh, bien plus qu'un telnet sécurisé
ssh, bien plus qu'un telnet sécuriséTryphon
 
Introduction to firewalls through Iptables
Introduction to firewalls through IptablesIntroduction to firewalls through Iptables
Introduction to firewalls through IptablesBud Siddhisena
 
initiation SSH_SecuriNets ISI Tunisie
initiation SSH_SecuriNets ISI Tunisieinitiation SSH_SecuriNets ISI Tunisie
initiation SSH_SecuriNets ISI TunisieDonia Hammami
 
Qu’est-ce qu’un poste de travail sécurisé ?
Qu’est-ce qu’un poste de travail sécurisé ? Qu’est-ce qu’un poste de travail sécurisé ?
Qu’est-ce qu’un poste de travail sécurisé ? Microsoft Technet France
 
05 01 open-vpn
05 01 open-vpn05 01 open-vpn
05 01 open-vpnNoël
 
Porque cambiar de IPSec a SSL VPN
Porque cambiar de IPSec a SSL VPNPorque cambiar de IPSec a SSL VPN
Porque cambiar de IPSec a SSL VPNaloscocco
 
Authentification TLS/SSL sous OpenVPN
Authentification TLS/SSL sous OpenVPNAuthentification TLS/SSL sous OpenVPN
Authentification TLS/SSL sous OpenVPNIsmail Rachdaoui
 
Vpn d’acces avec cisco asa 5500 et client
Vpn d’acces avec cisco asa 5500 et clientVpn d’acces avec cisco asa 5500 et client
Vpn d’acces avec cisco asa 5500 et clientManassé Achim kpaya
 
Transport Layer Security (TLS)
Transport Layer Security (TLS)Transport Layer Security (TLS)
Transport Layer Security (TLS)Arun Shukla
 

En vedette (20)

Iptables Configuration
Iptables ConfigurationIptables Configuration
Iptables Configuration
 
SSH - Secure Shell
SSH - Secure ShellSSH - Secure Shell
SSH - Secure Shell
 
Iptables
IptablesIptables
Iptables
 
Securisation des services B2B à l''aide d'IPSEC
Securisation des services B2B à l''aide d'IPSECSecurisation des services B2B à l''aide d'IPSEC
Securisation des services B2B à l''aide d'IPSEC
 
Competitic sécurite informatique - numerique en entreprise
Competitic   sécurite informatique - numerique en entrepriseCompetitic   sécurite informatique - numerique en entreprise
Competitic sécurite informatique - numerique en entreprise
 
Mini projet de reseaux de communication
Mini projet  de reseaux de communicationMini projet  de reseaux de communication
Mini projet de reseaux de communication
 
ssh, bien plus qu'un telnet sécurisé
ssh, bien plus qu'un telnet sécuriséssh, bien plus qu'un telnet sécurisé
ssh, bien plus qu'un telnet sécurisé
 
Atelier ssh
Atelier sshAtelier ssh
Atelier ssh
 
Introduction to firewalls through Iptables
Introduction to firewalls through IptablesIntroduction to firewalls through Iptables
Introduction to firewalls through Iptables
 
Iptables in linux
Iptables in linuxIptables in linux
Iptables in linux
 
Iptables presentation
Iptables presentationIptables presentation
Iptables presentation
 
initiation SSH_SecuriNets ISI Tunisie
initiation SSH_SecuriNets ISI Tunisieinitiation SSH_SecuriNets ISI Tunisie
initiation SSH_SecuriNets ISI Tunisie
 
Qu’est-ce qu’un poste de travail sécurisé ?
Qu’est-ce qu’un poste de travail sécurisé ? Qu’est-ce qu’un poste de travail sécurisé ?
Qu’est-ce qu’un poste de travail sécurisé ?
 
05 01 open-vpn
05 01 open-vpn05 01 open-vpn
05 01 open-vpn
 
Porque cambiar de IPSec a SSL VPN
Porque cambiar de IPSec a SSL VPNPorque cambiar de IPSec a SSL VPN
Porque cambiar de IPSec a SSL VPN
 
Authentification TLS/SSL sous OpenVPN
Authentification TLS/SSL sous OpenVPNAuthentification TLS/SSL sous OpenVPN
Authentification TLS/SSL sous OpenVPN
 
Transport Layer Security
Transport Layer SecurityTransport Layer Security
Transport Layer Security
 
Vpn d’acces avec cisco asa 5500 et client
Vpn d’acces avec cisco asa 5500 et clientVpn d’acces avec cisco asa 5500 et client
Vpn d’acces avec cisco asa 5500 et client
 
VPN: SSL vs IPSEC
VPN: SSL vs IPSECVPN: SSL vs IPSEC
VPN: SSL vs IPSEC
 
Transport Layer Security (TLS)
Transport Layer Security (TLS)Transport Layer Security (TLS)
Transport Layer Security (TLS)
 

Similaire à Projet IPTable

Firewalls
FirewallsFirewalls
Firewallsc0r3war
 
LPIC2 12 01 pare-feu et nating
LPIC2 12 01 pare-feu et natingLPIC2 12 01 pare-feu et nating
LPIC2 12 01 pare-feu et natingNoël
 
Cours Firewalls.pdf
Cours Firewalls.pdfCours Firewalls.pdf
Cours Firewalls.pdfAnisSalhi3
 
04 2 procédure de configuration du routeur linux ubuntu server 14.04 de nom r...
04 2 procédure de configuration du routeur linux ubuntu server 14.04 de nom r...04 2 procédure de configuration du routeur linux ubuntu server 14.04 de nom r...
04 2 procédure de configuration du routeur linux ubuntu server 14.04 de nom r...ronanlebalch
 
Initiation à l’analyse réseau avec Wireshark.pdf
Initiation à l’analyse réseau avec Wireshark.pdfInitiation à l’analyse réseau avec Wireshark.pdf
Initiation à l’analyse réseau avec Wireshark.pdfDrm/Bss Gueda
 
Cisco et-le-simulateur-packet-tracer
Cisco et-le-simulateur-packet-tracerCisco et-le-simulateur-packet-tracer
Cisco et-le-simulateur-packet-tracerMed Ali Bhs
 
IPv6 training
IPv6 trainingIPv6 training
IPv6 trainingFred Bovy
 
Cisco les acl_cours
Cisco les acl_coursCisco les acl_cours
Cisco les acl_coursTutu Mike
 
Mettre en place votre pare-feu sous Linux avec iptables.pdf
Mettre en place votre pare-feu sous Linux avec iptables.pdfMettre en place votre pare-feu sous Linux avec iptables.pdf
Mettre en place votre pare-feu sous Linux avec iptables.pdfjupiter63
 
Configuration ospf
Configuration ospfConfiguration ospf
Configuration ospfJoeongala
 
Firewall opensource et gestion de configuration pour l'infrastructure
Firewall opensource et gestion de configuration pour l'infrastructureFirewall opensource et gestion de configuration pour l'infrastructure
Firewall opensource et gestion de configuration pour l'infrastructureJohan Moreau
 
Administration reseau
Administration reseauAdministration reseau
Administration reseaunadimoc
 
Etude DéTailléé de la pile réseau sous GNU Linux
Etude DéTailléé de la pile réseau sous GNU LinuxEtude DéTailléé de la pile réseau sous GNU Linux
Etude DéTailléé de la pile réseau sous GNU LinuxThierry Gayet
 
Présentation Packet Radio et APRS par F4BHQ et F1IJP
Présentation Packet Radio et APRS par F4BHQ et F1IJPPrésentation Packet Radio et APRS par F4BHQ et F1IJP
Présentation Packet Radio et APRS par F4BHQ et F1IJPLionel Repellin
 

Similaire à Projet IPTable (20)

Firewalls
FirewallsFirewalls
Firewalls
 
LPIC2 12 01 pare-feu et nating
LPIC2 12 01 pare-feu et natingLPIC2 12 01 pare-feu et nating
LPIC2 12 01 pare-feu et nating
 
Rapport projet
Rapport projetRapport projet
Rapport projet
 
Cours Firewalls.pdf
Cours Firewalls.pdfCours Firewalls.pdf
Cours Firewalls.pdf
 
1485606887426.pdf
1485606887426.pdf1485606887426.pdf
1485606887426.pdf
 
04 2 procédure de configuration du routeur linux ubuntu server 14.04 de nom r...
04 2 procédure de configuration du routeur linux ubuntu server 14.04 de nom r...04 2 procédure de configuration du routeur linux ubuntu server 14.04 de nom r...
04 2 procédure de configuration du routeur linux ubuntu server 14.04 de nom r...
 
wireshark.pdf
wireshark.pdfwireshark.pdf
wireshark.pdf
 
Initiation à l’analyse réseau avec Wireshark.pdf
Initiation à l’analyse réseau avec Wireshark.pdfInitiation à l’analyse réseau avec Wireshark.pdf
Initiation à l’analyse réseau avec Wireshark.pdf
 
Cisco et-le-simulateur-packet-tracer
Cisco et-le-simulateur-packet-tracerCisco et-le-simulateur-packet-tracer
Cisco et-le-simulateur-packet-tracer
 
IPv6 training
IPv6 trainingIPv6 training
IPv6 training
 
Ccna4
Ccna4Ccna4
Ccna4
 
Rip-ng vs ospf-v3
Rip-ng vs ospf-v3Rip-ng vs ospf-v3
Rip-ng vs ospf-v3
 
Cisco les acl_cours
Cisco les acl_coursCisco les acl_cours
Cisco les acl_cours
 
Mettre en place votre pare-feu sous Linux avec iptables.pdf
Mettre en place votre pare-feu sous Linux avec iptables.pdfMettre en place votre pare-feu sous Linux avec iptables.pdf
Mettre en place votre pare-feu sous Linux avec iptables.pdf
 
Configuration ospf
Configuration ospfConfiguration ospf
Configuration ospf
 
Firewall opensource et gestion de configuration pour l'infrastructure
Firewall opensource et gestion de configuration pour l'infrastructureFirewall opensource et gestion de configuration pour l'infrastructure
Firewall opensource et gestion de configuration pour l'infrastructure
 
Administration reseau
Administration reseauAdministration reseau
Administration reseau
 
Etude DéTailléé de la pile réseau sous GNU Linux
Etude DéTailléé de la pile réseau sous GNU LinuxEtude DéTailléé de la pile réseau sous GNU Linux
Etude DéTailléé de la pile réseau sous GNU Linux
 
Présentation Packet Radio et APRS par F4BHQ et F1IJP
Présentation Packet Radio et APRS par F4BHQ et F1IJPPrésentation Packet Radio et APRS par F4BHQ et F1IJP
Présentation Packet Radio et APRS par F4BHQ et F1IJP
 
Astuces cisco
Astuces ciscoAstuces cisco
Astuces cisco
 

Plus de Olga Ambani

Visualisation graphique des preuves Électroniques (complet)
Visualisation graphique des preuves Électroniques (complet)Visualisation graphique des preuves Électroniques (complet)
Visualisation graphique des preuves Électroniques (complet)Olga Ambani
 
Visualisation graphique des preuves Electroniques
Visualisation graphique des preuves Electroniques Visualisation graphique des preuves Electroniques
Visualisation graphique des preuves Electroniques Olga Ambani
 
Magazine hadrumet
Magazine hadrumetMagazine hadrumet
Magazine hadrumetOlga Ambani
 
Communication interne
Communication interne Communication interne
Communication interne Olga Ambani
 
Etude d’un système ultra large bande sous matlab
Etude d’un système ultra large bande sous matlabEtude d’un système ultra large bande sous matlab
Etude d’un système ultra large bande sous matlabOlga Ambani
 

Plus de Olga Ambani (8)

les Threads
les  Threadsles  Threads
les Threads
 
Visualisation graphique des preuves Électroniques (complet)
Visualisation graphique des preuves Électroniques (complet)Visualisation graphique des preuves Électroniques (complet)
Visualisation graphique des preuves Électroniques (complet)
 
Visualisation graphique des preuves Electroniques
Visualisation graphique des preuves Electroniques Visualisation graphique des preuves Electroniques
Visualisation graphique des preuves Electroniques
 
Magazine hadrumet
Magazine hadrumetMagazine hadrumet
Magazine hadrumet
 
Projet de droit
Projet de droitProjet de droit
Projet de droit
 
Lte projet
Lte projetLte projet
Lte projet
 
Communication interne
Communication interne Communication interne
Communication interne
 
Etude d’un système ultra large bande sous matlab
Etude d’un système ultra large bande sous matlabEtude d’un système ultra large bande sous matlab
Etude d’un système ultra large bande sous matlab
 

Projet IPTable

  • 1. Page 1 Powerpoint Templates
  • 2. Page 2 I. INTRODUCTION II. FONCTIONNEMENT DE IP-TABLES 1. Qu’est ce IP-TABLES? 2. Principe 3. les Tables , les chaines et les cibles 4. Diagramme de traitement des paquet III. DEMONSTRATION
  • 3. De nos jours, l’une des méthodes fondamentales de sécurisation des réseaux informatiques est le filtrage des paquets. Aujourd’hui tout le monde sait ce que c’est qu’un firewall ainsi que son utilité sur un réseau, un serveur ou même un ordinateur personnel Depuis la version 2.4, Linux contient un module destiné au filtrage réseau: Netfilter. Il se configure au moyen d'un outil appelé iptables. Page 3
  • 4. IPTables est un outil Linux (exclusivement) pour gérer le pare-feu qui est intégré au noyau Linux 2.4 (et supérieur). L'architecture du noyau pour le système de pare-feu s'appelle 'netfilter'. Netfilter est un module, et fonctionne en mode Noyau. C’est lui qui intercepte et manipule les paquets IP avant et après le routage. • IPTables est la commande qui permet de Page 4 configurer Netfilter en espace Utilisateur.
  • 5. • Lorsque la carte réseau reçoit un paquet celui-ci Page 5 est transmis à la partie netfilter du noyau. • Netfilter va ensuite étudier ce paquet (les entêtes et le contenu) et en se basant sur des règles que l'administrateur aura défini, il va choisir de laisser passer le paquet intact, de modifier ce paquet, de le transmettre à une autre machine ou encore d'interdire le passage.
  • 6. Tous les paquets inspectés par Netfilter passent à travers des tables de traitement prédéfinies (queues). est constituée d’un nombre arbitraire et non est une suite de règles qui sont prises dans l'ordre, dès qu'une règle correspond à un paquet, elle est déclenchée, et la suite de la chaîne est ignorée. Page 6 limité de chaînes. est l’endroit où sera envoyé le paquet si le motif de reconnaissance de là règle correspond et qui donnera l’action a exécuter. Nombre variable de critère permettant d’évaluer un paquet
  • 7. Page 7 Tables Il existe trois principales tables Table Description filter Cette table permet de filtrer les paquets. Typiquement ce sera pour les accepter ou non. nat Avec cette table, on peut réaliser des translations d'adresse (ou de ports). mangle Règle pour la modification des paquets. Permet de marquer les paquets (MARK), Modifier leur TTL, leur TOS. On peut agir sur l’en-tête du paquet ainsi qu’aux champs qui lui sont associé par le système La table Raw est principalement utilisée pour placer des marques sur les paquets qui ne doivent pas être vérifiés par le système de traçage de connexion. Ceci est effectué en utilisant la cible NOTRACK sur le paquet. Si une connexion rencontre une cible NOTRACK, conntrack ne tracera pas cette connexion
  • 8. Page 8 Ce sont elles qui contiendront les règles à appliquer aux paquets. Chaines Chaînes de Netfilter Chaîne Table Description PREROUTING Mangle, nat Par cette chaîne passeront les paquets entrant dans la machine avant routage. INPUT Filter, mangle Cette chaîne traitera les paquets entrants avant qu'ils ne soient passées aux couches supérieures (les applications). FORWARD Filter, mangle Ce sont les paquets uniquement transmis par la machine sans que les applications n'en aient connaissance. OUTPUT filter, nat, mangle Cette chaîne sera appelée pour des paquets envoyés par des programmes présents sur la machine. POSTROUTING Mangle, nat Les paquets prêts à être envoyés (soit transmis, soit générés) seront pris en charge par cette chaîne.
  • 9. Page 9 Il s'agit du traitement que l'on décide d'appliquer au paquet Cible Cible Description ACCEPT Les paquets envoyés vers cette cible seront tout simplement acceptés et pourront poursuivre leur cheminement au travers des couches réseaux. DROP Cette cible permet de jeter des paquets qui seront donc ignorés. REJECT Permet d’envoyer une réponse à l’émetteur pour lui signaler que son paquet a été refusé. LOG Demande au noyau d’enregistrer des informations sur le paquet courant. Cela se fera généralement dans le fichier /var/log/messages (selon la configuration du programme syslogd). MASQUERADE Cible valable uniquement dans la chaîne POSTROUTING de la table NAT Elle change l’adresse IP de l’émetteur par celle courante de la machine pour l’interface spécifiée. Cela permet de masquer des machines et de faire par exemple du partage de connexion. SNAT Egalement valable pour la chaîne POSTROUTING de la table NAT seulement. Elle modifie aussi la valeur de l’adresse IP de l’émetteur en la remplaçant par la valeur fixe spécifiée. DNAT Valable uniquement pour les chaînes PREROUTING et OUTPUT de la table NAT. Elle modifie la valeur de l’adresse IP du destinataire en la remplaçant par la valeur fixe spécifiée. RETURN Utile dans les chaînes utilisateurs. Cette cible permet de revenir à la chaîne appelante. Si RETURN est utilisé dans une des chaînes de base précédente, cela est équivalent à l’utilisation de sa cible par défaut.
  • 10. Page 10 Les options d’ IPtables Options Rôle -L Affiche toutes les règles de la chaîne indiquée. -F Flush. Supprime toutes les règles de la chaîne. Si aucune chaîne n'est spécifiée, toutes celles de la table sont vidées. -N Crée une nouvelle chaîne utilisateur avec le nom passé en paramètre. -X Supprime la chaîne utilisateur. Si aucun nom n'est spécifié, toutes les chaînes utilisateur seront supprimées -P Modifie la politique par défaut de la chaîne. Il faut indiquer en plus comme paramètre la cible à utiliser. -A Ajoute une règle à la fin de la chaîne spécifiée. -I Insère la règle avant celle indiquée. Cette place est précisée par un numéro qui fait suite au nom de la chaîne. La première porte le numéro 1. Si aucun numéro n'est indiqué, la règle est insérée au début. -D Supprime une règle de la chaîne. Soit un numéro peut être précisé, soit la définition de la chaîne à supprimer (ses tests de concordance et sa cible). -j <cible> Saute à la cible spécifiée lorsque le paquet correspond à la règle -p < type-protocole> Protocole à surveiller. Le type inclut icmp, tcp, udp, http, etc. -s < addresse-ip> Adresse IP source à surveiller. -d < addresse-ip > Adresse IP destination à surveiller. -i <nom-interface> Interface d’entrée à surveiller (le paquet entre par cette interface). -o < nom-interface > Interface de sortie à surveiller (le paquet sort par cette interface).
  • 12. • # iptables –t filter -A INPUT –p TCP –S 192.168.3.1 –j DROP #iptables –t nat –A PREROUTING –i eth0 –p tcp –dport 80 Page 12 –j DNAT/ ---to-destination 192.168.2.1:8080 • -t nat [filter]  table Nat ou filter • -A Prerouting on ajoute une règle en (entrée d’interface) • -i eth0  on précise le sens (–i=input) et la carte réseau • -p TCP  on indique le protocole TCP • --dport 80  le port de destination prévu à l’origine. • -J  jump, quel action on va faire subir au paquet. • DNAT  modification de la destination • -to—destination 192.168.2.1:80  on précise la nouvelle destination
  • 16. Page 16 Exemple de script iptables (à stocker dans /etc/init.d/monIPTables #!/bin/bash # Script iptables by BeAvEr. ## Règles iptables. ## On flush iptables. /sbin/iptables -F ## On supprime toutes les chaînes utilisateurs. /sbin/iptables -X ## On drop tout le trafic entrant. /sbin/iptables -P INPUT DROP ## On drop tout le trafic sortant. /sbin/iptables -P OUTPUT DROP ## On drop le forward. /sbin/iptables -P FORWARD DROP ## On drop les scans XMAS et NULL. /sbin/iptables -A INPUT -p tcp --tcp-flags FIN,URG,PSH FIN,URG,PSH -j DROP /sbin/iptables -A INPUT -p tcp --tcp-flags ALL ALL -j DROP /sbin/iptables -A INPUT -p tcp --tcp-flags ALL NONE -j DROP /sbin/iptables -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j DROP ## Dropper silencieusement tous les paquets broadcastés. /sbin/iptables -A INPUT -m pkttype --pkt-type broadcast -j DROP ## Permettre à une connexion ouverte de recevoir du trafic en entrée. /sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT ## Permettre à une connexion ouverte de recevoir du trafic en sortie. /sbin/iptables -A OUTPUT -m state ! --state INVALID -j ACCEPT ## On accepte la boucle locale en entrée. /sbin/iptables -I INPUT -i lo -j ACCEPT ## On log les paquets en entrée. /sbin/iptables -A INPUT -j LOG ## On log les paquets forward. /sbin/iptables -A FORWARD -j LOG exit 0
  • 17. Page 17 Je vous remercie pour votre attention Questions!!?