Les Règles de FILTRAGE ou Access Crontrol List (ACL)

Table des matières

1. Matériels
2. Le filtrage IPTABLES
3. Les Access Control List (ACL)

Les règles de filtrage ont pour objectif de protéger le réseau des intrusions ou autres utilisation illicites

1. Matériels

Pour l'accès à internet : le pare-feu (angl. firewall)

Ce type de matériel a pour rôle de protéger le réseau local des intrusions venant d'internet.

Les boitiers, comme illustré ci-contre, qui ont pour unique fonction le pare-feu sont appelés "Appliances"

Toutefois, le fonction "pare-feu" est souvent incluse dans des matériels tels que les routeurs, modem-routeur, voire les systèmes d'exploitation de serveurs/desktop

1. Matériels

Pour le réseau local : le commutateur de couche 3 (angl. level-3 layer)

Les réseaux locaux sont segmentés en "VLANS" (OSI : couche 1 : physique)

La communication entre ces VLANS est autorisée par la fonction de routage, mais soigneusement "filtrée" par des règles (définies par l'administrateur réseau) pour des raisons de sécurité, et de performance.

Le commutateur de niveau 3 fourni toutes ces fonctions :

- commutation
- routage entre les VLANS
- filtrage

Les règles de filtrage sont appelées : ACL (Access Control List)

2. Le filtrage IPTABLES

Le filtrage IPTABLES est étroitement lié au noyau Linux.

Nombre d' "aplliances" utilisent une carte mère pilotée par un OS Linux avec IPTABLES

2. Le filtrage IPTABLES

Syntaxe

Exemple :

Accept If protocol is TCP and destination is 10.0.0.0/24 and destination port is 80

Dans cet exemple, la connexion est acceptée si le réseau de destinatation est 10.0.0.0/24 et si le port TCP de destination est égal à 80; autrement dit, un serveur HTTP situé dans le réseau 10.0.0.0/24

Notez que cette règle n'a de sens que si on autorise la réponse du serveur ! par exemple :

Accept If protocol is TCP and source is 10.0.0.0/24 and source port is 80

Cette présentation des règles est celles utilisée par le logiciel d'administration "Webmin", qui facilite l'écriture des règles IPTABLES

En dehors de l'utilisation de Webmin, on peut utiliser IPTABLES en ligne de commande :

iptables -L

affiche l'état des règles de filtrage; la section "FORWARD" est celle qui nous intéresse (trames routées)

iptables -A

permet d'ajouter les règles

la ligne de commande prend les options suivantes :

REGLE VISEE	CIBLES		ACTION		PARAMETRE
INPUT	ip source	-s 0.0.0.0	Accepter	-j accept
OUTPUT	ip destination	-d 0.0.0.0	Refuser	-j drop
FORWARD	protocole (tcp/udp/arp/..)	-p xxx	DNAT	-j dnat	--to 0.0.0.0:1234
PREROUTING	port source	-sport 1234	SNAT	-j snat	--to 0.0.0.0:1234
POSTROUTING	port destination	-dport 1234	Rediriger	-j redirect	--to-port 1234
	interface entrée	-i eth0	Masquage (NAT)	-j masquerade
	interface sortie	-o eth0

Exemples :

iptables -A FORWARD -s 192.168.1.0/24 -d 10.0.0.0/24 -j drop ; les connexions du réseau 192.168.1.0/24 vers 10.0.0.0/24 sont interdites

iptables -t nat -A PREROUTING -p tcp -d 10.1.1.254 -dport 80 - j dnat --to 10.1.1.1:80 ; les connexions vers le serveur web de 10.1.1.254 sont redirigées vers le serveur web de 10.1.1.1

3. Access Control List (ACL)

Les ACL sont utilisées dans les actifs Cisco (routeurs, commutateurs de niveau 3)

3. Access Control List (ACL)

Syntaxe