Résumé
Étude du filtrage réseau dans le contexte d'un routeur central (hub) connecté à un routeur d'agence (spoke) via un lien WAN. Comme dans les autres supports de travaux pratiques de cette série, on assimile ces configurations types à des interconnexions entre réseaux locaux et réseaux étendus. Les questions de ce support sont présentées comme une introduction pas à pas au filtrage réseau. On débute avec les outils, on poursuit avec les fonctions de suivi de communication (stateful inspection) sur une interface, puis on ajoute à ce filtrage les fonctions de traduction d'adresse (NAT).
Table des matières
- 1. Copyright et Licence
- 2. Architecture réseau étudiée
- 3. Les outils de filtrage réseau
- 4. Règles de filtrage communes à toutes les configurations
- 5. Règles de filtrage sur le poste routeur d'agence (spoke)
- 6. Règles de filtrage sur le routeur central (hub)
- 7. Règles de filtrage avec identification des protocoles
- 8. Documents de référence
Copyright (c) 2000,2013 Philippe Latu. Permission is granted to copy, distribute and/or modify this document under the terms of the GNU Free Documentation License, Version 1.3 or any later version published by the Free Software Foundation; with no Invariant Sections, no Front-Cover Texts, and no Back-Cover Texts. A copy of the license is included in the section entitled "GNU Free Documentation License".
Copyright (c) 2000,2013 Philippe Latu. Permission est accordée de copier, distribuer et/ou modifier ce document selon les termes de la Licence de Documentation Libre GNU (GNU Free Documentation License), version 1.3 ou toute version ultérieure publiée par la Free Software Foundation ; sans Sections Invariables ; sans Texte de Première de Couverture, et sans Texte de Quatrième de Couverture. Une copie de la présente Licence est incluse dans la section intitulée « Licence de Documentation Libre GNU ».
Cet article est écrit avec DocBook XML
sur un système Debian
GNU/Linux. Il est disponible en version imprimable au
format PDF : interco.netfilter.qa.pdf.
Toutes les commandes utilisées dans ce document ne sont pas spécifiques à une version particulière des systèmes UNIX ou GNU/Linux. C'est la distribution Debian GNU/Linux qui est utilisée pour les tests présentés. Voici une liste des paquets contenant les commandes :
-
procps - The /proc file system utilities
-
net-tools - The NET-3 networking toolkit
-
ifupdown - High level tools to configure network interfaces
-
iputils-ping - Tools to test the reachability of network hosts
-
hping3 - Active Network Smashing Tool
-
iptables - Administration tools for packet filtering and NAT
-
iptstate - Top-like state for netfilter/iptables
Tous les exemples d'exécution des commandes sont précédés d'une invite utilisateur ou prompt spécifique au niveau des droits utilisateurs nécessaires sur le système.
-
Toute commande précédée de l'invite
$ne nécessite aucun privilège particulier et peut être utilisée au niveau utilisateur simple. -
Toute commande précédée de l'invite
#nécessite les privilèges du super utilisateur.
