Utilisation de FILTCFG pour la configuration des filtres

Ces sections vous expliquent comment utiliser FILTCFG sur le serveur de Novell BorderManager 3.7 :


Configuration des filtres exceptionnels des paquets sortants

Étant donné que les filtres par défaut n'autorisent pas automatiquement certains types de paquets à traverser le pare-feu, il peut s'avérer nécessaire d'activer des filtres exceptionnels pour activer d'autres services.

Les types de paquets définis par le système permettent de configurer des filtres d'exceptions de paquets avec état pour les services suivants :

Avec le filtrage des paquets avec état (dynamique), il suffit de définir les exceptions qui permettent à des types spécifiques de trafic sortant se dirigeant vers des cibles précises d'être réacheminés par le serveur Novell BorderManager 3.7. Le filtrage des paquets avec état contrôle chaque connexion et crée un filtre temporaire (d'une durée limitée) exceptionnel pour la connexion entrante. Vous pouvez ainsi bloquer le trafic entrant provenant d'une adresse ou d'un numéro de port particulier tout en autorisant le trafic de retour de la même provenance.

Le filtrage des paquets avec état assure le suivi des paquets sortants dont il a autorisé la transmission et n'autorise que le retour des paquets de réponse correspondants. Lorsque le premier paquet est transmis au réseau public (Internet), un filtre inverse est créé de façon dynamique. Pour qu'il puisse être considéré comme une réponse, le paquet entrant doit provenir de l'hôte et du port auquel le paquet sortant a été initialement envoyé.

Pour configurer les exceptions de réacheminement des paquets avec état afin d'acheminer le trafic sortant via le serveur Novell BorderManager 3.7 :

  1. À l'invite de la console du serveur, tapez

    LOAD FILTCFG

    2.

  2. À partir du menu Options de configuration des filtres, sélectionnez Configurer les options de l'interface > appuyez sur Entrée.

    3.

  3. Sélectionnez une interface dans la liste et appuyez sur Tab pour passer de Publique à Privée.

    Toutes les interfaces figurant dans la liste peuvent être désignées comme publiques (externes) ou privées (internes).

    4.

  4. Appuyez sur Échap > sélectionnez Configurer les filtres TCP/IP > Filtres de transmission de paquet.

    L'écran qui s'affiche doit être identique à celui-ci.

    Figure 5
    Écran Filtres de transmission de paquet

    5.

  5. Procédez comme suit :

    • Si l'état est Désactivé, appuyez sur Entrée > sélectionnez Activé > appuyez de nouveau sur Entrée. Les filtres TCP/IP configurés précédemment deviennent immédiatement actifs.
      •
    • Si l'opération sélectionnée est Autoriser les paquets dans la liste des filtres > appuyez sur Entrée > sélectionnez Refuser les paquets dans la liste des filtres > appuyez de nouveau sur Entrée. Les paquets correspondant aux types figurant dans la liste des filtres ne seront pas transmis par le serveur Novell BorderManager 3.7.
      •

  6. Sélectionnez Filtres et appuyez sur Entrée pour afficher la liste des filtres.

    Un filtre par défaut défini lors de l'installation bloque tous les paquets IP entrants provenant de l'interface publique.

    7.

  7. Appuyez sur Échap.

    8.

  8. Sélectionnez Exceptions > appuyez sur Entrée pour afficher la liste des exceptions.

    Un filtre exceptionnel par défaut défini lors de l'installation autorise tous les paquets IP sortants à être acheminés via l'interface publique.

    D'autres filtres exceptionnels permettent aux paquets entrants mentionnés ci-après de transiter via l'interface publique :

    • Authentification SSL (Secure Sockets Layer) Port TCP 443.
      •
    • TCP dynamique ---Ports TCP 1024 à 65535.
      •
    • UDP dynamique ---Ports UDP 1024 to 65535.
      •
    • Maître/esclave VPN (IPX/TCP) Port TCP 213.
      •
    • Authentification du client VPN---Port TCP 353.
      •
    • VPN "rester en vie" Port UDP 353
      •
    • Protocole SKIP (Simple Key Management for Internet Protocol)
      Protocol 57.
      •
    • Cache proxy Web (WWW-HTTP) Port TCP 80.
      •

    REMARQUE :  Bien que les filtres exceptionnels par défaut permettent à certains paquets liés à VPN d'être réacheminés, les filtres exceptionnels VPN par défaut ne permettent pas à des paquets codés d'être acheminés d'un membre VPN à un autre. Vous devez mettre à jour les filtres destinés aux tunnels VPN chaque fois que vous configurez un serveur VPN. Pour plus d'informations, reportez-vous au manuel Exécution de tâches de configuration et de gestion avancées et la ViPrésentation et planification des réseaux privés virtuels.

    9.

  9. Appuyez sur Inser pour définir un nouveau filtre exceptionnel pour le réacheminement des paquets sortants.

    L'écran Définir l'exception s'affiche, comme suit.

    Figure 6
    Écran Définir l'exception

    10.

  10. Sélectionnez Type d'interface source > appuyez sur Entrée.

    11.

  11. Sélectionnez Interface ou Groupe d'interfaces > appuyez sur Entrée.

    12.

  12. Sélectionnez Interface source > appuyez sur Entrée.

    13.

  13. Sélectionnez l'interface privée du serveur Novell BorderManager 3.7 ou le groupe d'interfaces > appuyez sur Entrée.

    14.

  14. Si vous avez sélectionné une interface WAN, sélectionnez Circuit source et appuyez sur Entrée pour définir les informations de circuit suivantes qui s'appliquent à l'interface :

    • DLCI Frame Relay local # (pour relais de trame) : numéro du circuit d'identification de la connexion de données (DLCI) utilisé pour les appels.
      •
    • ID de système à distance (pour PPP, X.25 ou ATM) : nom du serveur système distant ou d'un homologue distant associé à ce circuit.
      •
    • Type de paramètre du circuit (pour X.25 ou ATM) : type du circuit virtuel utilisé pour établir une connexion.
      •
    • Adresse DTE à distance (pour X.25) : adresse du terminal de données X.121 (DTE) assignée au DTE distant spécifique.
      •
    • Adresse ATM à distance (pour ATM) : adresse assignée à l'ATM (Asynchronous Transfer Mode) distant spécifique.
      •

  15. Sélectionnez Type d'interface cible > appuyez sur Entrée.

    16.

  16. Sélectionnez Interface ou Groupe d'interfaces > appuyez sur Entrée.

    17.

  17. Sélectionnez Interface cible > appuyez sur Entrée.

    18.

  18. Sélectionnez l'interface publique du serveur Novell BorderManager 3.7 ou le groupe d'interfaces > appuyez sur Entrée.

  19. Si vous avez sélectionné une interface WAN, sélectionnez Circuit cible > appuyez sur Entrée pour définir les informations de circuit suivantes qui s'appliquent à l'interface :

    • DLCI Frame Relay local # (pour relais de trame) : numéro du circuit DLCI utilisé pour les appels.
      •
    • ID de système à distance (pour PPP, X.25 ou ATM) : nom du serveur système distant ou d'un homologue distant associé à ce circuit.
      •
    • Type de paramètre du circuit (pour X.25 ou ATM) : type du circuit virtuel utilisé pour établir une connexion.
      •
    • Adresse DTE à distance (pour X.25) : adresse DTE X.121 assignée au DTE distant spécifique.
      •
    • Adresse ATM à distance (pour ATM) : adresse assignée à l'ATM distant spécifique.
      •

  20. Sélectionnez Type de paquet > appuyez sur Entrée.

    La fenêtre Types de paquets TCP/IP définis s'affiche. Les filtres de transmission de paquets avec état disponibles sont les suivants.

    Nom Type de paquet Type de transport Port cible Filtrage avec état

    dns/tcp-st

    DNS

    TCP

    53

    Activé

    dns/udp-st

    DNS

    UDP

    53

    Activé

    ftp-pasv-st

    FTP

    TCP

    21

    FTP_PASV

    ftp-port-st

    FTP

    TCP

    21

    FTP_PORT

    ftp-port-pasv-st

    FTP

    TCP

    21

    Activé

    ping-st

    PING

    ICMP

    N/A

    Activé

    pop3-st

    POP3 Mail

    TCP

    110

    Mode Désactivé

    smtp-st

    SMTP

    TCP

    25

    Activé

    telnet-st

    Telnet

    TCP

    23

    Activé

    www-http-st

    HTTP

    TCP

    80

    Activé

    www-https-st

    HTTPS

    TCP

    443

    Activé

  21. Pour le type d'adresse source, sélectionnez N'importe quelle adresse, Hôte ou Réseau.

    Sélectionnez N'importe quelle adresse, sauf si vous souhaitez que l'exception ne soit valable que pour un hôte ou réseau spécifique de votre réseau privé.

    22.

  22. Si vous avez sélectionné Hôte ou Réseau, sélectionnez Adresse IP source > entrez l'adresse hôte ou réseau.

  23. Pour le type d'adresse cible, sélectionnez N'importe quelle adresse, Hôte ou Réseau.

    Sélectionnez N'importe quelle adresse, sauf si vous souhaitez que l'exception ne soit valable que pour les paquets adressés à un hôte ou réseau spécifique en dehors de votre réseau privé.

    24.

  24. Si vous avez sélectionné Hôte ou Réseau, sélectionnez Adresse IP cible > entrez l'adresse hôte ou réseau.

  25. (Facultatif) Pour la consignation, appuyez sur Entrée, puis changez l'état de Désactivé à Activé.

    26.

  26. (Facultatif) Entrez un commentaire dans le champ correspondant afin de décrire l'objectif du filtre. Appuyez sur Échap > sélectionnez Oui pour enregistrer le filtre. Appuyez sur Échap jusqu'à ce que vous soyez invité à quitter FILTCFG.

    27.

IMPORTANT :  Si vous avez activé la consignation pour un filtre exceptionnel, vous devez également activer la consignation globale pour TCP/IP. La consignation globale et la consignation d'un filtre exceptionnel particulier doivent être activées pour permettre la consignation.


Configuration des filtres exceptionnels pour les paquets entrants

Si vous avez choisi de sécuriser l'interface publique du serveur Novell BorderManager 3.7' et de prendre en charge les clients de la passerelle IP Novell ou les clients SOCKS, vous devrez peut-être activer les filtres exceptionnels des paquets entrants pour leur permettre de se connecter via l'interface publique. Les clients de la passerelle IP Novell se connectent via les ports TCP 8224 et 8225, et les clients SOCKS via le port TCP 1080.

Pour configurer les exceptions de réacheminement des paquets de façon à réacheminer le trafic entrant de la passerelle IP et SOCKS via l'interface publique du serveur Novell BorderManager 3.7 :

  1. À l'invite de la console du serveur, tapez

    LOAD FILTCFG

    2.

  2. Sélectionnez Configurer les filtres TCP/IP > Filtres de transmission de paquet.

    3.

  3. Sélectionnez Exceptions > appuyez sur Entrée pour afficher la liste des exceptions.

    4.

  4. Appuyez sur Inser pour définir un nouveau filtre exceptionnel pour le réacheminement des paquets entrants.

    5.

  5. Configurez l'exception pour les clients de la passerelle IP Novell de la façon suivante :

    1. Sélectionnez Type d'interface source, puis appuyez sur Entrée.

      2.

    2. Sélectionnez Interface ou Groupe d'interfaces, puis appuyez sur Entrée.

      3.

    3. Sélectionnez Interface source, puis appuyez sur Entrée.

      4.

    4. Sélectionnez l'interface publique du serveur Novell BorderManager 3.7 ou le groupe d'interfaces, puis appuyez sur Entrée.

      5.

    5. Sélectionnez Type de paquet > appuyez sur Entrée.

      6.

    6. Appuyez sur Inser pour définir un nouveau type de paquet TCP/IP.

      7.

    7. Sélectionnez Nom et entrez le nom du type de paquet.

      8.

    8. Sélectionnez Protocole, puis appuyez sur Inser.

      9.

    9. Sélectionnez TCP dans la liste de protocoles Internet couramment utilisés.

      10.

    10. Acceptez <Tout> comme port(s) source.

      11.

    11. Sélectionnez le(s) port(s) cible(s) et entrez 8224-8225.

      12.

    12. Sélectionnez Commentaires et entrez une description du type de paquet, telle que Client de la passerelle IP Novell ou Client SOCKS.

      13.

    13. Appuyez sur Échap pour ajouter le type de paquet en haut de la liste de paquets.

      14.

    14. Sélectionnez le type de paquet ajouté.

      15.

    15. Sélectionnez Type d'adresse cible, puis changez le paramètre de N'importe quelle adresse à Hôte.

      16.

    16. Sélectionnez Adresse IP cible, puis entrez l'adresse IP affectée à l'interface publique de Novell BorderManager 3.7.

      17.

    17. (Facultatif) Sélectionnez Commentaires, puis entrez une description du filtre.

      18.

    18. Appuyez sur Échap pour ajouter l'exception.

      19.

  6. Configurez l'exception pour les clients SOCKS.

  7. Appuyez sur Échap jusqu'à ce que vous soyez invité à quitter FILTCFG.

    8.

Définition de types personnalisés de paquet avec état

Le pare-feu Novell BorderManager 3.7 propose de nombreux types de paquets statiques en plus des types de paquets avec état répertoriés dans Configuration des filtres exceptionnels des paquets sortants . Les types de paquets statiques sont ceux dont le nom ne comprend pas -st. Les types de paquets statiques sont utilisés pour définir la mise en place d'un filtrage de trafic dans un seul sens. Par exemple, au lieu de créer un filtre de paquet avec état dans un sens et de compter sur le système pour activer le filtre à durée limitée dans le sens inverse, vous pouvez créer deux filtres de paquets statiques : un pour les paquets circulant dans un sens et un pour les paquets circulant dans l'autre sens.

Si les types de paquets avec état déjà définis par le serveur Novell BorderManager 3.7 n'incluent pas un type de paquet que vous souhaitez filtrer et si vous n'osez pas utiliser les filtres de paquets statiques, vous pouvez créer un type personnalisé de paquet avec état.

Pour créer un type personnalisé de paquet avec état, procédez comme suit :

  1. À partir de la fenêtre Types de paquets TCP/IP définis, appuyez sur Inser.

    2.

  2. Entrez le nom du nouveau type de paquet dans le champ Nom.

    3.

  3. Pour le champ Protocole, appuyez sur Inser puis sélectionnez IP, ICMP, IGMP, TCP ou UDP.

    4.

  4. Si vous avez sélectionné TCP ou UDP, entrez le numéro de port source et cible ou une plage de numéros.

    5.

  5. Ne modifiez pas le paramètre par défaut Désactiver pour Filtrage de bit ACK.

    Étant donné que le filtrage de bit ACK s'effectue automatiquement lorsque le filtrage des paquets avec état est activé, vous n'avez pas besoin d'activer le filtrage de bit ACK séparément. Le logiciel ne vous permet pas d'activer à la fois le filtrage de bit ACK et le filtrage des paquets avec état pour un même filtre.

    6.

  6. Activez le filtrage avec état en sélectionnant l'un des modes suivants :

    • Activé
      •
    • Activé pour FTP actif uniquement (PORT)
      •
    • Activé pour FTP passif uniquement (PASV)
      •

    REMARQUE :  Les deux derniers modes de filtrage avec état s'appliquent uniquement aux types de paquets FTP (port 21). Si vous souhaitez le filtrage avec état à la fois pour FTP actif et FTP passif, sélectionnez Activé.

    7.

  7. (Facultatif) Entrez un commentaire pour décrire le type de paquet.

    La définition du type de paquet TCP/IP devrait se présenter comme suit.

    Figure 7
    Type de paquet TCP/IP défini

  8. Appuyez sur Échap pour ajouter le paquet à la liste Types de paquets TCP/IP définis.

    Une fois le type de paquet ajouté à la liste, vous pouvez configurer un filtre de paquet avec état à l'aide de cette définition de type de paquet.

    9.