Table des matières
Pour éviter les problèmes de sécurité, une zone tampon est souvent créée via les paramètres de pare-feu, où chaque réseau se connecte à une interface réseau différente. Cette configuration s'appelle un pare-feu à trois branches.Ceux qui ont besoin d'avoir une porte par laquelle le trafic en provenance d'Internet entre, doivent se rendre dans une zone intermédiaire de services publics ou frontend. L'emplacement des serveurs qui alimentent ces applications publiques doit être dans un réseau ou backend différent et protégé.
Dans ce type de pare-feu, vous devez autoriser :
- Accès réseau local à Internet.
- Accès public depuis internet vers le port tcp/80 et tcp/443 de notre serveur web.
- Bloquer évidemment le reste de l'accès au réseau local.
Vous devez garder à l'esprit qu'il a ainsi un niveau de sécurité intermédiaire, qui n'est pas assez élevé pour stocker les données essentielles de l'entreprise.
Nous supposons que le serveur utilise Linux, une distribution basée sur Debian.
Configuration des interfaces réseau
On se connecte au firewall, la première chose à faire est de configurer les interfaces réseau. Auparavant, nous allons rechercher les IP du réseau.
Nous accédons en mode administrateur. Nous utilisons la commande suivante pour voir les interfaces réseau.
ifconfig -a | grep eth *
Ensuite, avec la commande, nous voyons le DNS actuellement utilisé
plus /etc/resolv.conf
Ensuite, nous voyons quelle est l'ip interne avec la commande suivante
ifconfig eth0
On verra aussi l'IP de la passerelle et du réseau avec la commande suivante
netstat -r
Supposons que l'ip
Ip 192.168.0.113
Masque de réseau 255.255.255.0
IP réseau 192.168.0.0
Passerelle IP 192.168.0.253
Nous allons charger les données précédemment collectées.
nano -wB / etc / réseau / interfaces
la voiture
iface lo inet bouclage
eth0 automatique
iface eth0 inet statique
adresse 192.168.0.113
masque de réseau 255.255.255.0
réseau 192.168.0.0
diffusion 192.168.0.255
passerelle 192.168.0.253
eth1 automatique
iface eth1 inet statique
adresse 192.168.10.1
masque de réseau 255.255.255.0
réseau 192.168.10.0
diffuser 192.168.10.255
eth2 automatique
iface eth2 inet statique
adresse 192.168.3.1
masque de réseau 255.255.255.0
réseau 192.168.3.0
diffusion 192.168.3.155
Comme vous pouvez le voir, chaque interface réseau utilise une plage différente : eth0 192.168.0.0/24, eth1 192.168.10.0/24, eth2 192.168.3.0/24
On redémarre le réseau
/etc/init.d/redémarrage réseau
Nous créons notre script iptables avec les règles que nous jugeons nécessaires
nano /etc/network/if-up.d/firewall
Certaines règles importantes sont
# eth0 est l'interface connectée au routeur et eth1 au réseau local
# Tout ce qui vient de l'étranger et va aux ports 80 et 433
# on le redirige vers le serveur web (192.168.3.2) de la zone intermédiaire
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to 192.168.3.2:80
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 443 -j DNAT --to 192.168.3.2:443
## Nous autorisons le passage du réseau local au serveur web la zone intermédiaire
iptables -A FORWARD -s 192.168.3.2 -d 192.168.10.5 -p tcp --sport 80 -j ACCEPTER
iptables -A FORWARD -s 192.168.10.5 -d 192.168.3.2 -p tcp --dport 80 -j ACCEPTER
# Nous fermons l'accès de la zone intermédiaire au réseau local
iptables -A FORWARD -s 192.168.3.0/24 -d 192.168.10.0/24 -j DROPAvez-vous aimé et aidé ce tutoriel ?Vous pouvez récompenser l'auteur en appuyant sur ce bouton pour lui donner un point positif