Il est nécessaire dans un premier temps de configurer les interfaces réseau de la machine Linux fonctionnant en tant que routeur firewall. Pour cela on utilise ifconfig.

Pour visualiser la table de routage, utiliser la commande suivante :

user% cat /proc/net/route

ou bien :

user% /sbin/route -n
user% netstat -r

Pour manipuler cette table de routage, une commande spéciale est utilisée, " route ", qui permet d'ajouter, de supprimer, ou de modifier des entrées dans la table de routage.

Exemples :

- un réseau Ethernet avec un classe C privée : 192.168.1.0 l'adresse 192.168.1.1 est l'adresse du routeur connecté à internet.

root# ifconfig eth0 192.168.1.10 netmask 255.255.255.0 up
root# route add -net 192.168.1.0 netmask 255.255.255.0 eth0
root# route add default gw 192.168.1.1 eth0

" up " active l'interface. D'autres paramètres sont possibles : down, -arp, -allmulti, mtu N, netmask addr, -broadcast addr, -pointopoint addr...

- 3 réseaux Ethernet et une passerelle (routeur) supportant PPP :

root# route add -net 192.168.1.0 netmask 255.255.255.0 eth0
root# route add -net 192.168.2.0 netmask 255.255.255.0 eth1
root# route add -net 192.168.3.0 netmask 255.255.255.0 eth2
root# route add default ppp0

L'inconvénient de ce routage est qu'il est statique : tout problème sur une des machines rend inopérant le routage des informations. C'est pourquoi il est possible de réaliser un routage dynamique sous Linux, avec les protocoles traditionnels comme RIP ou OSPF : " routed -RIP " et " gated - RIP "...

Ces implémentations sont incluses dans le package Netkit.

Avec une allocation statique de la table de A, celle-ci serait alors définie par les commandes suivantes :

root# route add -net 192.168.1.0 netmask 255.255.255.0 eth0
root# route add -net 192.168.2.0 netmask 255.255.255.0 ppp0
root# route add -net 192.168.3.0 netmask 255.255.255.0 ppp1

Si le lien entre A et B tombe en panne, il n'y a pas de route de secours, alors qu'il pourrait emprunter temporairement le routeur C pour atteindre B. C'est pourquoi les routeurs doivent lancer un démon pour ajuster leurs tables de routage en fonction de la topologie variable du réseau.

Pour le routeur A :

root# route add -net 192.168.1.0 netmask 255.255.255.0 eth0
root# /usr/sbin/routed

Le démon routed détectera automatiquement tous les ports actifs du routeur, enverra sa propre table de routage et recevra celles de ses voisins (dans le cas de RIP).

Ces démons peuvent opérer de deux manières différentes :

- standalone : le démon " écoute " toute tentative de connexion et gère cette connexion lui-même pour fournir le service correspondant ;
- slave (esclave du serveur inetd) : inetd est un démon spécialisé dans la gestion des demandes de connexion : il possède un fichier de configuration qui lui précise quels programmes ont besoin d'être lancés quand une demande de connexion est reçue.

Deux fichiers ont besoin d'être configurés avec précaution : /etc/services qui assigne les noms de service et les numéros de port associés, et /etc/inetd.conf qui est le fichier de configuration pour le démon inetd.

D'autres fichiers de configuration réseau existent :

- /etc/protocols : allouer un nom à un protocole particulier, au lieu d'un identifiant chiffré ; surtout utilisé par les programmeurs pour rendre explicites leurs programmes
- /etc/networks : fonction similaire à /etc/hosts, réalise la correspondance entre les noms réseau et des adresses IP
- ...

Pour assurer un minimum de sécurité, on utilise également le fichier /etc/inetd.conf pour indiquer les différents services que l'on ne désire pas utiliser, comme par exemple login, exec, ftp, finger, netstat.

Prenons l'exemple de /etc/ftpusers, qui permet d'interdire les connexions FTP à certains utilisateurs. Ceci est géré par le démon ftpd. Dans les versions 2.0 et inférieures du noyau Linux, la commande standard de routage permettait de placer de simples routes dans une seule table de routage.

Dans les noyaux 2.1 et supérieurs, une autre option est disponible : celle-ci est basée sur des règles et permet d'avoir plusieurs tables de routage simultanées, ce qui permet une plus grande flexibilité et réactivité en décidant comment le paquet est routé : on peut désormais choisir entre plusieurs routes en se basant non seulement sur l'adresse destination, mais aussi sur l'adresse source, le ToS...

Pour lister et modifier la table de routage d'une machine dans les dernières versions du noyau, on utilise la commande ip route :

207.149.43.62 dev eth0 scope link
207.149.43.0/24 dev eth0 proto kernel scope link src 207.149.43.62
default via 207.149.43.1 dev eth0

La première ligne correspond à l'adresse de l'interface Eth0
Tout ce qui va vers l'adresse 207.149.43.0 doit sortir par l'interface Eth0
La dernière ligne est la route par défaut.

Pour ajouter une ligne dans la table de routage on fait comme suit :

ip route add 207.149.43.62 dev eth0 scope link
ip route add 207.149.43.0/24 dev eth0 proto kernel scope link src 207.149.43.62
ip route add 127.0.0.0/8 dev lo scope link
ip route add default via 207.149.43.1 dev eth0

Il est également possible de réaliser un filtrage NAT avec ip route :

ip route add nat 195.113.148.34 via 192.168.0.2
ip route add nat 195.113.148.32/27 via 192.168.0.0

La première ligne indique que l'adresse interne 192.168.0.2 est accessible via 195.113.148.34. La seconde ligne montre que le pool d'adresses 192.168.0.0 à 192.168.0.31 communique avec le pool d'adresses publiques 195.113.148.32 à 195.113.148.63.

     

- NeVoT - Network Voice Terminal : http://www.fokus.gmd.de/step/nevot
- RAT - UCL Robust-Audio Tool : http://www-mice.cs.ucl.ac.uk/mice/rat
- vat - LBL visual audio tool : http://www-nrg.ee.lbl.gov/vat/

- ivs - Inria video conferencing system : http://www.inria.fr/rodeo/ivs.html
- nv - Network video tool : ftp://ftp.parc.xerox.com/pub/net-research/
- nv w/ Meteor - Release of nv w/ support for the Matrox Meteor (UVa) :
ftp://ftp.cs.virginia.edu/pub/gwtts/Linux/nv-meteor.tar.gz
- vic - LBL video conferencing tool : http://www-nrg.ee.lbl.gov/vic/
- vic w/ Meteor - Release of vic w/ support for the Matrox Meteor (UVa) :
ftp://ftp.cs.virginia.edu/pub/gwtts/Linux/vic2.7a38-meteor.tar.gz

- mmphone Multimedia phone service :
http://www.eit.com/software/mmphone/phoneform.html
- wb - LBL shared white board : http://www-nrg.ee.lbl.gov/wb/
- webcast - Reliable multicast application for linking Mosaic browsers :
http://www.ncsa.uiuc.edu/SDG/Software/XMosaic/CCI/webcast.html

cat /proc/sys/net/ipv4/ip_forward
si l'on obtient 0 : pas de passage ; 1 : passage autorisé selon la configuration.

On peut bien sur changer l'état de cet interrupteur de la ligne de commande :
echo 1 > /proc/sys/net/ipv4/ip_forward

ipfwadm -F -p deny

ipfwadm -F -f
ipfwadm -I -f
ipfwadm -O -f

- serveur web : 192.168.61.1
- serveur de messagerie : 192.168.61.3

ipfwadm -F -a accept -b -P tcp -S 0.0.0.0/0 1024:65535 -D 192.168.61.3 25

ipfwadm -F -a accept -b -P tcp -S 192.168.61.3 25 -D 0.0.0.0/0 1024:65535

/sbin/ipfwadm -F -a accept -b -P tcp -S 0.0.0.0/0 1024:65535 -D 192.168.61.1 80

/sbin/ipfwadm -F -a accept -b -P tcp -S 196.168.61.* 80 -D 0.0.0.0/0 1024:65535

/sbin/ipfwadm -F -a accept -b -P udp -S 0.0.0.0/0 53 -D 196.168.61.1/24

ipfwadm -F -p deny
ipfwadm -F -a m -S 192.168.61.0/24 -D 0.0.0.0/0

ipfwadm -F -p deny
ipfwadm -F -a m -S 192.168.61.4/32 -D 0.0.0.0/0
ipfwadm -F -a m -S 192.168.61.10/32 -D 0.0.0.0/0

/sbin/modprobe ip_masq_ftp.o
/sbin/modprobe ip_masq_irc.o
/sbin/modprobe ip_masq_cuseeme.o

- Comptage de trafic,
- Blocage de trafic non souhaité,
- Masquage d'adresses (n : 1),
- Détournement vers un service local.

- Adresse IP source du paquet,
- Adresse IP destination du paquet,
- Type de protocole (TCP, UDP, ICMP),
- Port de protocole adressé (source, destination),
- Interface IP traversée,
- Type de paquet (connexion, transfert).

- Autorisation du paquet,
- Destruction du paquet,
- Rejet du paquet avec message d'erreur,
- Détournement du paquet sur un serveur local.

- la chaîne INTERNET : tous les flux venant d'internet seront " matchés " par cette chaîne,
- la chaîne COMPTA : tous les flux venant des machines faisant partie du service comptabilité seront matchés par cette politique,
- la chaîne DIRECTION : tous les flux venant des machines faisant partie de la Direction seront matchés par cette politique.

- INPUT : tout les paquets arrivant sur une interface réseau de votre machine en provenance d'Internet,
- FORWARD : les paquets qui passent juste à travers votre machine,
- OUTPUT : tous les paquets quittant votre machine vers Internet.

- ACCEPT : laisse tous les paquets passer à travers le firewall,
- REJECT : n'accepte pas le paquet. Si le paquet en question n'est pas un paquet ICMP, il renvoie un message ICMP ("Host unreachable") à l'expediteur,
- DENY : n'accepte pas le paquet et ne répond pas. Ignore simplement l'expediteur,
- MASQ : pour le forward uniquement. Laisse le paquet entrer et le renvoie après analyse à l'adresse locale correspondante,
- REDIRECT : chaîne input uniquement. Envoie le paquet à une socket locale ou un procesus. Peut être appliqué aux paquets UDP ou TCP,
- RETURN : équivalent à laisser tomber la fin d'une chaîne, soit en invoquant une cible d'une chaîne, soit en retournant à l'appelant,
- Rien de spécifié : normalement utilisée pour l'accounting. Les compteurs bytes et paquet des règles seront incrémentés, mais le paquet passera à la règle suivante dans la chaîne.

ipchains -A eth3_i -j ACCEPT -i eth3 -p udp -s ipdns -d any/0 53
ipchains -A eth0_i -j ACCEPT -i eth0 -p udp -s any/0 53 -d ipdns

ipchains -A eth3_i -j ACCEPT -i eth3 -p udp -s ipdns 53 -d any/0 53
ipchains -A eth0_i -j ACCEPT -i eth0 -p udp -s any/0 53 -d ipdns 53

- redirection de ports (port-forwarding),
- relayage transparent (transparent proxying).

- une règle INPUT associée en " -o " (output) ne sera jamais consultée,
- une règle OUTPUT associée en " -i " (input) ne sera jamais consultée,
- une règle FORWARD peut être associée en " -i " et " -o ".

- iptables -N internet

- iptables -A INPUT -i eth0 -j internet
- iptables -A internet -m state - - state ESTABLISHED, RELATED -j ACCEPT :
permet d'avoir le mode stateful (" ESTABLISHED "), et d'accepter les paquets ICMP d'erreur concernant la transaction (" RELATED ")
- iptables -A internet -p all -s any/0 -d any/0 -j LOG : tout ce qui arrive sur cette interface est matché par cette chaîne, et journalisé.
- iptables -A INTERNAL -p tcp --syn -s ipmail -d any/0 --dport 25 -j ACCEPT

iptables -t nat -F POSTROUTING
iptables -t nat -A POSTROUTING -s 192.168.61.0/24 -o eth0 -j SNAT -to 192.70.106.140

iptables -t nat -F PREROUTING
iptables -t nat -A PREROUTING -d 192.70.106.141-j DNAT --to 192.168.61.1

- Ip_filter : filtrage de paquets supportant NAT, pour les systèmes Unix,
- DANTE : une implémentation gratuite des protocoles proxy, tels SOCKS versions 4 et 5 (RFC 1928) ou MS-Proxy. Il peut être utilisé comme firewall,
- GFCC : interface de contrôle et d'administration pour les firewalls basés sur Linux, et qui régit des règles de sécurité (basés sur IPChains),
- SOCKS : un standard internet pour les firewalls, qui peut aussi être utilisé pour construire des VPN : http://www.socks.nec.com
- SQUID : un serveur proxy performant pour HTTP, FTP, DNS : http://www.squid-cache.org
- TinyProxy : proxy HTTP, idéal pour les petits réseaux où Squid serait trop gourmand.
- Intégration avec OpenLDAP : http://www.openldap.org

- mode Transport : sécurisation de bout en bout, en-tête non modifiée,
- mode Tunnel : encapsulation dans un nouveau paquet IP.

- CIPE, que nous venons de citer précédemment,
- ECliPt Secure Tunnel : outil de chiffrement écrit en Python,
- NIST Cerberus : basé sur IPSec,
- PoPToP : un serveur Linux PPTP qui fonctionne également avec des clients NT,
- Slush : Slush est un projet destiné à créer une application simple de sécurité à distance en utilisant SSL/TLS pour la sécurisation des communications et X.509 pour l'authentification. L'objectif est à terme de fournir un logiciel gratuit capable de remplacer SSH.

- BRO, SHADOW (http://www.nswc.navy.mil/ISSEC/CID/) ou SNORT (http://www.snort.org) sont libres,
- NFR est payant,
- TRINUX est une mini-distribution de Linux disposant d'outils de sécurité et de supervision du réseau : http://www.trinux.org
- NESSUS, scanner de réseau gratuit et téléchargeable sur http://www.nessus.org réalise des tests d'intrusion, et indique les différentes failles d'un réseau local et les précautions à prendre.

- ETHEREAL : un analyseur de protocoles qui capture les trames qui circulent sur le réseau et analyse de nombreux protocles : ARP/RARP, BOOTP/DHCP, DNS, Ethernet, ICMP, IGMP, IP/TCP/UDP, IPX, LPR/LPD, OSPF, PPP, RIP, Token Ring, AppleTalk...
- IPGRAP,
- NGREP,
- TCPDUMP : le sniffer de paquets standard fonctionnant sous les systèmes Unix.

- Checkpoint, en partenariat avec RedHat, propose des solutions complètes de sécurité comme par exemple Meta IP 4.1, qui fournit les services DNS, DHCP, Firewall-One, VPN-One, LDAP… Son prix varie entre 445 $ pour la version Standard, et 9.995 $ pour la version Entreprise. Pour plus de renseignements, consulter le site officiel de Checkpoint : http://www.checkpoint.com. Tout comme Netiflter, la solution Meta IP 4.1 supporte le mode " stateful " de contrôle de session.

- Cisco, avec l'acquisition de la société Altiga, propose la solution VPN 5000 : http://www.cisco.com pour la réalisation de réseaux privés virtuels.

- La solution ProWall de Protectix : http://www.protectix.com, passerelle fédérant les fonctions de firewall (filtrage des paquets IP) et de routeur (NAT).