Instrukcja do ¢wiczenia
Transkrypt
Instrukcja do ¢wiczenia
Instrukcja do ¢wiczenia Routing i ltrowanie pakietów Remigiusz Górecki Paweª Topa Dariusz bik 28 pa¹dziernika 2008 Data wykonania Skªad Grupy Ocena Podczas wykonywania ¢wiczenia odznaczaj wykonane podpunkty! Przed przyst¡pieniem do ¢wiczenia sprawd¹ obecno±¢ i stan sprz¦tu. Wszelkie nieprawidªowo±ci nale»y natychmiast zgªosi¢ prowadz¡cemu. Zestawienie sprz¦tu 1 21 Komputer posiadaj¡cy trzy interfejsy sieciowe nale»y wykorzysta¢ jako router. Poszczegolne jego interfejsy nale»y podª¡czy¢ w nast¦puj¡cy sposób: 22 2a interfejs eth0 jako interfejs zewn¦trzny External (wyprowadzenia 1-3 na patch panelu), 2b interfejs eth1 jako podsie¢ Trusted podª¡czona do pierwszego segmentu HUBa, 2c interfejs eth2 jako podsie¢ Optional podª¡czona do drugiego segmentu HUBa; interfejsy eth0 dwóch pozostaªych komputerów nale»y podª¡czy¢ odpowiednio do sekcji pierwszej i drugiej HUBa (tak by jeden z nich byª wª¡czony do sekcji Trusted, a drugi do Optional routera). Konguracja systemu Linux jako router 21 Skonguruj komputer pracuj¡cy pod kontrol¡ systemu Linux jako router dla dwóch podsieci. Komputer posiada 3 interfejsy typu Ethernet dost¦pne jako eth0, eth1 oraz eth2. Pierwszy z interfejsów (eth0 ma posªu»y¢ jako poª¡czenie zewn¦trzne, pozostaªe jako podsieci wewn¦trzne (chronion¡ cz¦±¢ Trusted interfejs eth1 oraz Optional podsie¢ zawieraj¡ca serwery interfejs kie wydane polecenia winny by¢ dopisane do pliku /etc/rc.d/rc.local, eth2). Wszyst- który jest wykonywany pod koniec ka»dej inicjalizacji systemu. 2a interfejs eth0 External numer IP 192.168.5.___ 255.255.255.0, wy- 255.255.255.240, wy- 255.255.255.240, wy- maska podsieci peªnij tabel¦: 2b interfers eth0 External adres IP ___.___.___.___ adres sieci ___.___.___.___ maska podsieci ___.___.___.___ broadcast ___.___.___.___ interfejs eth1 Trusted podsie¢ 192.168.6.___ z mask¡ podsieci peªnij tabel¦: 2c interfers eth1 Trusted adres IP ___.___.___.___ adres sieci ___.___.___.___ maska podsieci ___.___.___.___ broadcast ___.___.___.___ interfejs eth2 Optional podsie¢ 192.168.6.___ maska podsieci peªnij tabel¦: 2d interfers eth2 Optional adres IP ___.___.___.___ adres sieci ___.___.___.___ maska podsieci ___.___.___.___ broadcast ___.___.___.___ sprawd¹ poprawno±¢ tablicy routingu, ustal routowanie domy±lne (adres bramy (ang. default gateway ) 192.168.5.1) polecenie route1 . Wypeªnij tabel¦: cel maska celu gateway ___.___.___.___ ___.___.___.___ ___.___.___.___ ___.___.___.___ ___.___.___.___ ___.___.___.___ ___.___.___.___ ___.___.___.___ ___.___.___.___ ___.___.___.___ ___.___.___.___ ___.___.___.___ default ___.___.___.___ ___.___.___.___ urz¡dzenie 2e wezwij prowadz¡cego celem zwerykowania poprawno±ci konguracji; 2f skonguruj komputery w podsieciach Trusted oraz Optional tak, aby miaªy ª¡czno±¢ ze ±wiatem (wybierz dowolne numery z podsieci w których s¡ podª¡czone); 1 akceptowalne jest równie» zastosowanie polecenia ip 2 Komputer w sieci Trusted 2g Serwer WWW sie¢ Optional adres IP ___.___.___.___ adres IP ___.___.___.___ adres sieci ___.___.___.___ adres sieci ___.___.___.___ broadcast ___.___.___.___ broadcast ___.___.___.___ maska podsieci ___.___.___.___ maska podsieci ___.___.___.___ default gateway ___.___.___.___ default gateway ___.___.___.___ popro± prowadz¡cego o wskazanie w laboratorium stanowiska, które b¦dzie peªniªo rol¦ komputera zewn¦trznego na potrzeby dalszych testów; 2h przetestuj za pomoc¡ pakietów ICMP (ping) z komputerów w sieciach Optional oraz Trusted komputera zewn¦trznego dost¦pno±¢: ich bramy domy±lnej (default gateway); siebie nawzajem; oraz komputera 213.180.130.200. Wyniki przedstaw w tabeli wpisuj¡c tak lub nie: default komp. w komp. w gateway trusted optional trusted zewn. wª¡cz rutowanie pakietów pomi¦dzy interfejsami Linuxa (domy±lnie jest ono blokowane) po- /proc/sys/net/ipv4/ip_forward; sprawd¹ ponownie dost¦pno±¢ komputerów (jak w punkcie h) i wyniki zapisz w tabeli: default komp. w komp. w gateway trusted optional trusted zewn. 213.180.130.200 router eth0 eth1 eth2 optional zewn. na komputerze znajduj¡cym si¦ w podsieci Optional uruchom serwer WWW (usªug¦ httpd), utwórz przykªadow¡ stron¦ umieszczaj¡c plik 2l eth2 przez wpisanie warto±ci 1 do pliku 2k eth1 zewn. 2j router eth0 optional 2i 213.180.130.200 index.html w katalogu /var/www/html; przetestuj z komputera w sieci Trusted oraz komputera zewn¦trznego ª¡czno±¢ z serwerem WWW w sieci Optional poprzez protokoªy http, ssh (wykorzystuj¡ce protokóª transportowy TCP) oraz poprzez pakiety ICMP (ping). Wyniki umie±¢ w tabeli: http ssh ICMP trusted zewn¦trzny 2m 22 wezwij prowadz¡cego celem zwerykowania poprawno±ci konguracji. iptables: Konguracja reguª rewalla z wykorzystaniem 2a wª¡cz reguª¦ w ªa«cuchu FORWARD uniemo»liwiaj¡c¡ dost¦p z zewnatrz poprzez protokóª 2 ICMP do serwera WWW ; 2b sprawd¹ dost¦pno±¢ serwera WWW poprzez protokoªy http, ssh oraz poprzez pakiety ICMP (ping) z sieci wewn¦trznej (Trusted) oraz zewn¦trznej. Wyniki umie±¢ w tabeli: http ssh ICMP trusted zewn¦trzny 2c wezwij prowadz¡cego celem zwerykowania poprawno±ci konguracji. 2d zabezpiecz serwer WWW w taki sposób aby usªuga klientów w sieci Trusted natomiast usªuga ssh wanym rozwi¡zaniem jest umieszczenie w ªa«cuchu j¡cej poª¡czenia wykorzystuj¡ce protokóª http byªa dost¦pna tylko dla naszych byªa nadal dost¦pna dla wszystkich. Sugero- ssh (tcp FORWARD dwóch regóª: pierwszej akceptu- port numer 22), oraz drugiej odrzucaj¡cej wszystkie poª¡czenia wchodz¡ce z zewn¡trz (z zewn¦trznego interfejsu). 2 polecenie iptables ªa«cuch FORWARD interfejs wchodz¡cy eth0 interfejs wychodz¡cy dowolny, adres ¹ródªowy dowolny, adres docelowy równy adresowi serwera WWW, protokóª równy ICMP, akcja 3 REJECT 2e sprawd¹ ile pakietów (oraz ile bajtów) zostaªo odrzucone/zaakceptowane przez poszczególne reguªy, wyniki zanotuj: pakiety bajty ping ssh reszta 2f wezwij prowadz¡cego celem zwerykowania poprawno±ci konguracji. 4