Pare-feu et serveur proxy
La société Pelletier Éditions est spécialisée dans l'impression et la distribution de livres. Elle souhaite sécuriser l'accès à Internet aux usagers de son SI interne. Pour cela, elle fait appel à vous afin de mettre en œuvre un serveur proxy par lequel le trafic sortant du SI interne sera forcé de transiter. Le domaine est pelletiereditions.fr
Votre machine virtuelle possède deux interfaces :
Les nouveaux serveurs seront les suivants :
- eth0 : Interface connectée à la DMZ et à Internet. L'adresse est obtenue via DHCP dans la plage d'adresse 10.50.0.0/16.
- eth1 : Interface connectée au SI interne. L'adresse est obtenue via DHCP dans la plage d'adresse 10.60.0.0/16.
L’authentification des utilisateurs du proxy se fera depuis le serveur LDAP de l’entreprise. Celui-ci est hébergé sur 10.50.0.1. Les utilisateurs sont stockés dans ou=Utilisateurs,dc=pelletiereditions,dc=fr. Le compte utilisé pour interroger l'annuaire est cn=proxy,dc=pelletiereditions,dc=fr dont le mot de passe est tprezo.
Seuls les domaines suivants seront autorisés par le proxy :
- deb.debian.org
- security.debian.org
- fr.wikipedia.org
- intranet.pelletiereditions.fr
Les flux suivants doivent être paramétrés dans le pare-feu iptables :
| Adresse source | Port source | Adresse dest. | Port dest. | Description |
|---|---|---|---|---|
| Tous | ICMP | Interface eth0 | ICMP | Ping eth0 |
| Tous | ICMP | Interface eth1 | ICMP | Ping eth1 |
| Tous | UDP 67 | 10.50.0.1 | UDP 67 | Trafic DHCP |
| 10.60.0.0/16 | TCP 80 | Proxy | TCP 3129 | Trafic HTTP SI interne envoyé dans votre proxy |
| 10.60.0.0/16 | TCP 443 | Proxy | TCP 3130 | Trafic HTTPS SI interne envoyé dans votre proxy |
| Proxy | Tous | Tous | TCP 80 | Trafic sortant HTTP du proxy |
| Proxy | Tous | Tous | TCP 443 | Trafic sortant HTTPS du proxy |
| Tous | TCP 8081 | 10.60.0.1 | TCP 8089 | Serveur Web SI interne |