<< Tous les articles

Configuration de zone pare-feu avec Vyatta

Vyatta : politique de zone

Dans cet article j’utilise la version 6.6R1 de Vyatta.
La majorité de cet article est basée sur la documentation officielle.

Les zone-policy (politiques de zone) permettent de délimiter les accès : entrants et sortants.
Par défaut elles n’acceptent aucune communication entrante et sortante et c’est pour cette raison que les zones sont couplées avec des règles pare-feu strictes et précises.
Le but est de pouvoir autoriser ou non certains flux réseaux entre elles : exemple DMZ.

Et si vous aviez l’habitude de parler vert, rouge, orange, bleu alors accrochez-vous! car les interfaces colorées n’existent pas dans Vyatta, du moins pas de cette façon là.
Notez que l’idée d’une interface rouge ou verte est simplement une convention, pas une restriction.

Schéma conventionnel des différentes zones

Le réseau répond à une politique de sécurité interne. Chaque zone utilise une seule ou plusieurs interfaces avec des règles de pare-feux précises entre elles.

Récapitulatif :

Zone réseau internet :  eth0, eth1
Zone démilitarisée :  eth2
Zone réseau local :  eth3
Zone local VPN :  ZONE-LOCAL

Pourquoi j’utilise 2 cartes (eth0 et eth1) et pas une seule ? Tout simplement parce-que je loue des adresses routées sur internet.
N’oubliez pas vos règles NAT et DHCP expliquées dans cet article.
 

Configuration des zones + pare-feux dans Vyatta :

Zone réseau internet avec pare-feux :

set zone-policy zone internet
set zone-policy zone internet description "internet"
set zone-policy zone internet default-action drop
set zone-policy zone internet interface eth0
set zone-policy zone internet interface eth1

set firewall name internet_trafic
set firawall name internet_trafic default-action accept
set firewall name internet_trafic description “Autorise trafic internet”
set firewall name internet_trafic rule 1 action accept
set firewall name internet_trafic rule 1 state established enable
set firewall name internet_trafic rule 1 state related enable

Zone démilitarisée avec pare-feux :

set zone-policy zone dmz
set zone-policy zone dmz description "dmz"
set zone-policy zone dmz default-action drop
set zone-policy zone dmz interface eth2

set firewall name internet_vers_dmz
set firawall name internet_vers_dmz default-action drop
set firewall name internet_vers_dmz description “filtrage du trafic internet vers dmz”
set firewall name internet_vers_dmz rule 1 action accept
set firewall name internet_vers_dmz rule 1 destination addresse X.X.X.X (adresse de votre serveur)
set firewall name internet_vers_dmz rule 1 destination port 80,443
set firewall name internet_vers_dmz rule 1 protocol tcp

Zone lan avec pare-feux :

set zone-policy zone lan
set zone-policy zone lan description "lan"
set zone-policy zone lan default-action drop
set zone-policy zone lan interface eth3

set firewall name lan_vers_dmz
set firewall name lan_vers_dmz description “Autoriser le lan vers dmz”
set firewall name lan_vers_dmz rule 1 action accept
set firewall name lan_vers_dmz rule 1 destination adresse X.X.X.X (adresse de votre serveur)
set firewall name lan_vers_dmz rule 1 destination port 22,80,443
set firewall name lan_vers_dmz_rule 1 source adresse X.X.X.X/X (adresse reseau du lan)
set firewall name lan_vers_dmz rule 1 protocol tcp
set firewall name lan_vers_dmz rule 2 action accept 
set firewall name lan_vers_dmz rule 2 icmp type-name any
set firewall name lan_vers_dmz rule 2 protocol icmp

set firewall name lan_vers_vyatta rule 1 action accept
set firewall name lan_vers_vyatta rule 1 destination adresse X.X.X.X/X (adresse reseau du lan)
set firewall name lan_vers_vyatta rule 1 source adresse X.X.X.X/X (adresse reseau du vpn)set firewall name lan_vers_dmz rule 1 protocol tcp
set firewall name lan_vers_vyatta rule 2 action accept 
set firewall name lan_vers_vyatta rule 2 icmp type-name any
set firewall name lan_vers_vyatta rule 2 protocol icmp

Zone Vyatta VPN avec pare-feux :

set zone-policy zone vyatta
set zone-policy zone vyatta description "zone-local de vyatta"
set zone-policy zone vyatta interface local-zone

set firewall name vpn_vers_vyatta
set firawall name vpn_vers_vyatta default-action accept
set firewall name vpn_vers_vyatta description “filtrage trafic entrant vers vyatta”
set firewall name vpn_vers_vyatta rule 1 action drop
set firewall name vpn_vers_vyatta rule 1 destination addresse X.X.X.X (adresse de votre interface public eth1)
set firewall name vpn_vers_vyatta rule 1 protocol tcp_udp

set firewall name vpn_vers_vyatta rule 2 action drop
set firewall name vpn_vers_vyatta rule 2 destination adresse X.X.X.X (adresse de votre interface public eth0)
set firewall name vpn_vers_vyatta rule 2 destination port 53
set firewall name vpn_vers_vyatta rule 2 protocol tcp_udp 

Ajouter les règles pare-feu aux zones :

Acceptez le trafic de la zone internet vers dmz :

set zone-policy zone internet from dmz firewall name internet_trafic

Acceptez le trafic de la zone dmz vers d’internet  :

set zone-policy zone dmz from internet firewall name internet_vers_dmz

Acceptez le trafic de la zone internet vers lan :

set zone-policy zone internet from lan name internet_trafic

Acceptez le trafic de la zone dmz vers lan :

set zone-policy zone dmz from lan name lan_vers_dmz

Acceptez le trafic de la zone vyatta vers internet :

set zone-policy zone vyatta from internet firewall name vpn_vers_vyatta

Acceptez le trafic de la zone lan vers vyatta :

set zone-policy zone lan from vyatta firewall name lan_vers_vyatta

Les zone-policy et les règles firewall n’ont plus de secret pour vous!