Création d'un firewall

Version imprimable

05/12/2010, 21h02
arimane

Création d'un firewall

Bonjour,

Je voudrais crée un firewall pour mon projet de fin d'étude, genre ipcop,iptable mais le problème c'est que je ne sais pas trop par quoi commencé dans le sens ou es qu'il y a des livres qui peuvent aidé ?

Merci de vos réponses
05/12/2010, 21h03
becket

Créer un firewall sous windows ? C'est pas le meilleur OS pour ce genre de travail
05/12/2010, 21h11
Benj.

Créer un firewall ou mettre en place un firewall ? La différence est grande mine de rien.
05/12/2010, 21h16
arimane

Crée un firewall et non pas la mise en place d'un firewall, non ca sera pas sous windows mais sous linux
13/01/2011, 12h40
mptijr

vraiment costaud ton projet. on bosse ensemble si tu veux?
18/01/2011, 01h28
Elboras

Je ne connais pas tes connaissances en informatique, mais une première approche pourrait être de bien connaitre le kernel linux, la programmation de modules noyaux ...

Cependant, se lancer dans un projet, sans savoir par ou commencer, est plutôt risqué.
18/01/2011, 20h00
arimane

Citation:

Envoyé par Elboras

Je ne connais pas tes connaissances en informatique, mais une première approche pourrait être de bien connaitre le kernel linux, la programmation de modules noyaux ...

Cependant, se lancer dans un projet, sans savoir par ou commencer, est plutôt risqué.

Peut être que c'est risqué mais déjà je sais ou je veux arriver.
19/01/2011, 00h33
Elboras

Citation:

Envoyé par arimane

Peut être que c'est risqué mais déjà je sais ou je veux arriver.

C'est bien, je l'accorde, avoir des ambitions, c'est motivant ... quand on sait les réaliser.
Je ne connais pas votre niveau de motivations, je sais juste que sur 100 projets en informatique j'en vois 5 voir le jour ... (ok j'abuse peut-être un peu).

Dans un projet il y à deux composantes importante, l'innovation, et la faculté de l'équipe à réaliser le projet (je ne dis pas que ce sont les seuls composantes).
Ici, je ne sais pas quel sera votre innovation par rapport à un autre (marketing, sécurité, ergonomie, fonctionnalités), mais je sais que vous ne savez pas dutout par ou commencer, donc c'est pour ce que je vous disais de faire attention.

Après, je ne veux pas vous offenser, c'est un constat, peut-être que ce constat va encore plus vous donner l'envie de réussir votre projet pour qu'il soit abouti.

voila un exemple de firewall assez simple, si ca peut vous aider à comprendre le sujet :-)

Exécuter script iptables au démarrage de la machine

Code:

1
2
3
4
5
6
7
8
9
10
root@ubuntu:/etc/init.d# chmod +x script.sh
root@ubuntu:/etc/init.d# update-rc.d script.sh defaults
 
#Autre façon de mettre au démarrage :
#Edition de /etc/rc.local
#Mettre chemin du script avant « exit0 »
 
#Dans script.sh(/etc/init.d/) commencer par :
==> #!/bin/bash
#le '#' est compris dans la ligne !

Le fichier script.sh :

Code:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
#!/bin/sh
 
lo=127.0.0.1
intExt=eth0
intLocal=eth1
reseauLocal=x.x.x.x/24
reseauExt=x.x.x.x/24
ipExt=x.x.x.x
 
 
 
#----------------------------------------------
#Initialisation
#----------------------------------------------
 
 
for i in mangle raw filter nat
do
 
iptables -t $i -F
iptables -t $i -Z #met les counteur de packet a 0
 
done
 
for j in FORWARD OUTPUT INPUT
do
iptables -P $j DROP
iptables -A $j -m state --state ESTABLISHED,RELATED -j ACCEPT
done
 
#------------------------------
#NAT
#------------------------------
echo "1" > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o $intExt -j MASQUERADE
# ou iptables -t nat -A POSTROUTING -o $intExt -j SNAT --to-source $ipExt
 
#------------------------------
#Boucle local
#------------------------------
 
iptables -A OUTPUT -d $lo -j ACCEPT
iptables -A INPUT -s $lo -j ACCEPT
 
#------------------------------
#SSH
#------------------------------
 
iptables -A OUTPUT -o $intLocal -d $reseauLocal -m tcp -p tcp --dport 22 -j ACCEPT
 
iptables -A FORWARD -i $intLocal -s $reseauLocal -o $intExt -d $reseauExt -m tcp -p tcp --dport 22 -j ACCEPT
 
 
#------------------------------
#HTTP & HTTPS
#------------------------------
 
iptables -A OUTPUT -m tcp -p tcp --dport 80 -j ACCEPT
iptables -A OUTPUT -m tcp -p tcp --dport 8080 -j ACCEPT
iptables -A OUTPUT -m tcp -p tcp --dport 443 -j ACCEPT
 
iptables -A FORWARD -i $intLocal -s $reseauLocal -o $intExt -m tcp -p tcp --dport 80 -j ACCEPT
iptables -A FORWARD -i $intLocal -s $reseauLocal -o $intExt -m tcp -p tcp --dport 8080 -j ACCEPT
iptables -A FORWARD -i $intLocal -s $reseauLocal -o $intExt -m tcp -p tcp --dport 443 -j ACCEPT
 
 
 
#------------------------------
#MSN
#------------------------------
 
iptables -A OUTPUT -m tcp -p tcp --dport 1863 -j ACCEPT
iptables -A FORWARD -i $intLocal -s $reseauLocal -o $intExt -m tcp -p tcp --dport 1863 -j ACCEPT
 
 
#------------------------------
#Mail
#------------------------------
 
iptables -A OUTPUT -m tcp -p tcp --dport 110 -j ACCEPT
iptables -A OUTPUT -m tcp -p tcp --dport 25 -j ACCEPT
iptables -A OUTPUT -m tcp -p tcp --dport 143 -j ACCEPT
 
iptables -A FORWARD -i $intLocal -s $reseauLocal -o $intExt -m tcp -p tcp --dport 25 -j ACCEPT
iptables -A FORWARD -i $intLocal -s $reseauLocal -o $intExt -m tcp -p tcp --dport 110 -j ACCEPT
iptables -A FORWARD -i $intLocal -s $reseauLocal -o $intExt -m tcp -p tcp --dport 143 -j ACCEPT
 
 
#------------------------------
#FTP
#------------------------------
/sbin/modprobe ip_conntrack_ftp
iptables -A OUTPUT -m tcp -p tcp --dport 21 -j ACCEPT
 
iptables -A FORWARD -i $intLocal -s $reseauLocal -o $intExt -m tcp -p tcp --dport 21 -j ACCEPT
 
 
#-----------------------------
#DNS
#----------------------------
 
iptables -A OUTPUT -m tcp -p tcp --dport 53 -j ACCEPT
iptables -A OUTPUT -m udp -p udp --dport 53 -j ACCEPT
 
iptables -A FORWARD -i $intLocal -s $reseauLocal -o $intExt -m tcp -p tcp --dport 53 -j ACCEPT
iptables -A FORWARD -i $intLocal -s $reseauLocal -o $intExt -m udp -p udp --dport 53 -j ACCEPT

voilà le 2ème :

Code:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
#!/bin/sh
 
lo=127.0.0.1
http='-m tcp -p tcp --dport 80'
https='-m tcp -p tcp --dport 443'
proxy='-m tcp -p tcp --dport 8080'
dns='-m udp -p udp --dport 53'
 
echo "0" > /proc/sys/net/ipv4/ip_forward #on vire l'ip forwarding pour éviter les pb de forward durant la durée de l'excecution du script -> A METTRE AVANT TOUT AJOUT OU SUPPRESSION DE REGLES
 
for i in mangle raw filter nat
do
 
iptables -t $i -F #on vide les tables
iptables -t $i -Z #met les counteur de packet a 0
 
done
 
for j in FORWARD OUTPUT INPUT
do
iptables -P $j DROP #stratégie par défaut -> drop!
iptables -A $j -m state --state ESTABLISHED,RELATED -j ACCEPT #on autorise les connexions déjà établie
done
 
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j MASQUERADE #192.168.1.0 sera naté
iptables -t nat -A PREROUTING -m tcp -p tcp -dport 222 -j DNAT --to 192.168.1.201:22 #ssh non fonctionnel mais ya eu de l'idée (2/4)
 
iptables -A OUTPUT -d $lo -j ACCEPT #autoriser la boucle locale
iptables -A INPUT -s $lo -j ACCEPT
 
iptables -A OUTPUT -p tcp --dport 20 -j ACCEPT #autoriser la connexion a un FTP DISTANT
iptables -A OUTPUT -p tcp --dport 21 -j ACCEPT #
 
iptables -A INPUT -p tcp --dport 25 -j ACCEPT #autoriser la connexion des clients AU SERVEUR MAIL QUI EST LE FW
iptables -A INPUT -p tcp --dport 143 -j ACCEPT
iptables -A INPUT -p tcp --dport 110 -j ACCEPT
 
iptables -A OUTPUT $http -j ACCEPT #le FW doit accéder au net
iptables -A OUTPUT $https -j ACCEPT
iptables -A OUTPUT $dns -j ACCEPT
iptables -A OUTPUT $proxy -j ACCEPT
 
iptables -A FORWARD $http -j ACCEPT #le client doit accéder au net
iptables -A FORWARD $https -j ACCEPT
iptables -A FORWARD $dns -j ACCEPT
iptables -A FORWARD $proxy -j ACCEPT
 
echo "1" > /proc/sys/net/ipv4/ip_forward #on réactive l'ip forwarding

30/01/2011, 12h32
Djef-69

Bonjour,

ah, iptables, au début, on doute... puis on met la tête dedans, on s'arrache les cheveux... et au final on regrette qu'il n'existe que sur tux...

de la lecture on ne peut plus complète, avec script d'exemple bien construit pouvant servir de base : Didacticiel Iptables d'Oskar Andreasson, parcequ'il faut rendre à césar...
31/01/2011, 10h01
arimane

Merci pour vos réponses, Elboras ne t'inquiète pas je ne me suis pas sentie offenser.
12/03/2011, 21h52
Elboras

Désolé de remonter un sujet un peu ancien, mais je veux savoir si vous continuez votre projet sur la création d'un firewall logiciel ?

Pour tigrou7, ici vous montrez la configuration d'un firewall existant (iptables), mais cela ne représente pas vraiment la confection et le développement d'un firewall