Comme pour la section précédente sur le routeur Hub, on doit compléter le jeu de règles de filtrage pour répondre à deux objectifs :
-
Le routeur Spoke doit autoriser et enregistrer dans la table de suivi d'état les flux réseaux sortants issus du réseau des conteneurs.
-
Ce même routeur Spoke doit autoriser et enregistrer dans la table de suivi d'état les flux réseaux entrants à destination des services Web hébergés par les conteneurs.
On commence par afficher le contenu des deux fichiers
/etc/iptables/rules.v4
et
/etc/iptables/rules.v6
d'un routeur
Spoke qui correspondent à la situation
initiale avant de traiter les questions de cette section.
-
Jeu de règles pour le protocole IPv4.
#~~~~~~~~~~~~ R A W *raw :PREROUTING ACCEPT [0:0] :OUTPUT ACCEPT [0:0] -A PREROUTING -m rpfilter --invert -m comment --comment BCP38 -j DROP COMMIT #~~~~~~~~~~~~ F I L T E R *filter :INPUT DROP [0:0] :FORWARD DROP [0:0] :OUTPUT ACCEPT [0:0] -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT -A INPUT -i lo -j ACCEPT -A INPUT -p icmp -m limit --limit 2/sec -m conntrack --ctstate NEW -j ACCEPT -A INPUT -p tcp --syn --dport 2222 -m conntrack --ctstate NEW -m comment --comment SSH -j ACCEPT -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT -A FORWARD -p icmp -m limit --limit 2/sec -m conntrack --ctstate NEW -j ACCEPT -A FORWARD -p tcp --syn --dport 2222 -m conntrack --ctstate NEW -m comment --comment SSH -j ACCEPT COMMIT
-
Jeu de règles pour le protocole IPv6.
#~~~~~~~~~~~~ R A W *raw :PREROUTING ACCEPT [0:0] :OUTPUT ACCEPT [0:0] -A PREROUTING -m rpfilter --invert -m comment --comment BCP38 -j DROP COMMIT #~~~~~~~~~~~~ F I L T E R *filter :INPUT DROP [0:0] :FORWARD DROP [0:0] :OUTPUT ACCEPT [0:0] -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT -A INPUT -i lo -j ACCEPT -A INPUT -s fe80::/10 -j ACCEPT -A INPUT -p ipv6-icmp -m limit --limit 2/sec -j ACCEPT -A INPUT -p tcp --syn --dport 2222 -m conntrack --ctstate NEW -m comment --comment SSH -j ACCEPT -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT -A FORWARD -p ipv6-icmp -m limit --limit 2/sec -j ACCEPT -A FORWARD -p tcp --syn --dport 2222 -m conntrack --ctstate NEW -m comment --comment SSH -j ACCEPT COMMIT
Q27. |
Comment autoriser et enregistrer dans le mécanisme de suivi des états les flux sortants par l'interface WAN du routeur Spoke ? Rechercher dans les pages de manuels de la commande iptables le moyen de désigner une interface ainsi que le sens des flux qui transitent par cette interface. |
C'est la directive On ajoute donc les deux règles suivantes sur les routeurs Spoke.
|
|
Q28. |
Comment valider l'utilisation de ces deux nouvelles règles à partir d'un routeur Spoke ? Il suffit de lancer un téléchargement depuis un conteneur desservi par le routeur Spoke en utilisant successivement les protocoles IPv4 et IPv6. Ensuite, on relève les enregistrements sur le même routeur Spoke à l'aide de la commande conntrack. |
Voici un exemple de relevé avec un téléchargement suffisamment volumineux pour collecter la liste des entrées de suivi d'état sur le routeur Spoke. On commence par s'assurer que le paquet wget est bien installé sur le conteneur depuis lequel on effectue le test.
On passe ensuite au téléchargement et au relevé de la table de suivi d'état.
|
|
Q29. |
Comment autoriser les flux Web entrants par l'interface WAN vers les conteneurs ? Rechercher dans les options de la commande iptables celles qui permettent de désigner les interfaces d'entrée et de sortie ainsi que les numéros de ports associés au service Web. |
Les options utiles pour les interfaces sont Voici un exemple des deux règles à ajouter.
|
|
Q30. |
Comment valider l'utilisation des deux règles ajoutées dans la question précédente ? Reprendre, depuis le routeur Hub, l'utilsation de la commande wget telle qu'elle a été présentée dans la section Routeurs Spoke du support Topologie Hub & Spoke avec le protocole PPPoE. |
Voici un exemple des résultats obtenus sur le routeur Hub de la maquette. Le code HTTP
On se place ensuite sur le routeur Spoke pour relever les compteurs des règles de filtrage.
|