Debian logo [inetdoc.LINUX]

Introduction au filtrage réseau

Philippe Latu

Linux France

Historique des versions
Version $Revision: 1336 $ $Date: 2008-11-05 12:01:18 +0100 (mer 05 nov 2008) $ $Author: latu $
Année universitaire 2008-2009

Résumé

L'objectif de ce support de travaux pratiques est d'étudier la mise en oeuvre du filtrage réseau dans le contexte routeur d'agence et client distant. Comme dans les autres supports de travaux pratiques de cette série, on assimile ces configurations types à des interconnexions entre réseaux locaux et réseau étendus.

Les questions de ce support sont présentées comme une introduction pas à pas au filtrage réseau. On débute avec les outils, on développe les fonctions de suivi de communication (stateful inspection) sur une interface, puis on applique ce filtrage au routage avec traduction d'adresse (NAT).

Table des matières

1. Copyright et Licence
1.1. Méta-information
1.2. Conventions typographiques
2. Architecture réseau étudiée
2.1. Topologie type
2.2. Plan d'adressage WAN
3. Les outils de filtrage réseau
3.1. Questions sur iptables
3.2. Questions sur netfilter
4. Règles de filtrage communes à toutes les configurations
5. Règles de filtrage sur le poste client distant
6. Règles de filtrage sur le routeur d'accès
7. Règles de filtrage avec identification des protocoles
7.1. Protocole ICMP
7.2. Règles de filtrage communes à toutes les configurations
8. Documents de référence
8.1. IETF & IANA
8.2. Distribution Debian GNU/Linux
8.3. Projet [inetdoc.LINUX]

1. Copyright et Licence

Copyright (c)  2000,2008 Philippe Latu.
Permission is granted to copy, distribute and/or modify this 
document under the terms of the GNU Free Documentation License, 
Version 1.2 or any later version published by the Free Software
Foundation; with no Invariant Sections, no Front-Cover Texts, 
and no Back-Cover Texts. A copy of the license is included in 
the section entitled "GNU Free Documentation License".

Copyright (c)  2000,2008 Philippe Latu.
Permission est accordée de copier, distribuer et/ou modifier ce
document selon les termes de la Licence de Documentation Libre GNU
(GNU Free Documentation License), version 1.2 ou toute version
ultérieure publiée par la Free Software Foundation ; sans
Sections Invariables ; sans Texte de Première de Couverture, et
sans Texte de Quatrième de Couverture. Une copie de
la présente Licence est incluse dans la section intitulée
« Licence de Documentation Libre GNU ».

1.1. Méta-information

Cet article est écrit avec DocBook XML sur un système Debian GNU/Linux. Il est disponible en version imprimable aux formats PDF et Postscript : interco.netfilter.pdf| interco.netfilter.ps.gz.

Toutes les commandes utilisées dans ce document ne sont pas spécifiques à une version particulière des systèmes UNIX ou GNU/Linux. C'est la distribution Debian GNU/Linux qui est utilisée pour les tests présentés. Voici une liste des paquets contenant les commandes :

  • procps - The /proc file system utilities

  • net-tools - The NET-3 networking toolkit

  • ifupdown - High level tools to configure network interfaces

  • iputils-ping - Tools to test the reachability of network hosts

  • iptables - Administration tools for packet filtering and NAT

  • iptstate - Top-like state for netfilter/iptables

1.2. Conventions typographiques

Tous les exemples d'exécution des commandes sont précédés d'une invite utilisateur ou prompt spécifique au niveau des droits utilisateurs nécessaires sur le système.

  • Toute commande précédée de l'invite $ ne nécessite aucun privilège particulier et peut être utilisée au niveau utilisateur simple.

  • Toute commande précédée de l'invite # nécessite les privilèges du super-utilisateur.

     Suivant
     2. Architecture réseau étudiée

Table des matières