Mise en oeuvre du firewall NetFilter de Linux

NetFilter est le nom du système de pare-feu intégré dans le noyau Linux. Au-delà du simple filtrage IP, il s'agit d'un véritable pare-feu à état statefull disposant de fonctionnalités de translation d'adresse NAT et de nombreuses extensions telles que la capacité de modifier le contenu des paquets.

Public :

• Toute personne désirant accroître la sécurité d'un serveur ou d'un réseau.

Objectifs :

• Etre en mesure de configurer le système NetFilter sous Linux.

Pré-requis :

• Bonnes connaissances du système Unix/Linux (niveau administration) et des différents protocoles TCP/IP.

Contenu pédagogique

Rappel TCP/IP

• Modèle en couches
• Protocoles et ports
• Gestion des connexions TCP

Qu'est-ce qu'un firewall

• Filtrage IP
• Mode "sans état", mode "à états"
• Translation d'adresse
• Structure
• • Passerelle
  • Proxy-arp
  • Pont éthernet

Architecture du système NetFilter

• Tables, chaînes et règles
• Gestions du filtrage : commande iptables
• Critères de filtrage
• Cibles
• Suivi des connexions

Translation d'adresses

• Translation d'adresse source
• Translation d'adresse destination
• Masquerading

Rapports d'activité et gestion des alertes

• Rapports d'activité
• Gestion des alertes

Ateliers :

• Protection d'une station locale
• Partage de connexion Internet
• Protection d'un réseau

Scalabilité du filtrage IP

• Problématique
• Infrastructure ipset
• Gestion des ipset
• Couplage avec iptables

Gestion avancée du suivi de connexions

• Principe et paramétrage
• Interface /proc/net/nf_conntrack
• Outil conntrack

Mise en œuvre d'un cluster de firewall à tolérance de panne

• Problématique
• Transfert des caches de connexions
• Mise en œuvre du service conntrackd