Instrukcja do ¢wiczenia

Instrukcja do ¢wiczenia
Routing i ltrowanie pakietów
Remigiusz Górecki
Paweª Topa
Dariusz ›bik
28 pa¹dziernika 2008
Data wykonania
Skªad Grupy
Ocena
Podczas wykonywania ¢wiczenia odznaczaj wykonane podpunkty!
Przed przyst¡pieniem do ¢wiczenia sprawd¹ obecno±¢ i stan sprz¦tu. Wszelkie nieprawidªowo±ci nale»y
natychmiast zgªosi¢ prowadz¡cemu.
Zestawienie sprz¦tu
1
21
Komputer posiadaj¡cy trzy interfejsy sieciowe nale»y wykorzysta¢ jako router. Poszczegolne jego
interfejsy nale»y podª¡czy¢ w nast¦puj¡cy sposób:
22
2a
interfejs
eth0
jako interfejs zewn¦trzny External (wyprowadzenia 1-3 na patch panelu),
2b
interfejs
eth1
jako podsie¢ Trusted podª¡czona do pierwszego segmentu HUBa,
2c
interfejs
eth2
jako podsie¢ Optional podª¡czona do drugiego segmentu HUBa;
interfejsy
eth0 dwóch pozostaªych komputerów nale»y podª¡czy¢ odpowiednio do sekcji pierwszej i
drugiej HUBa (tak by jeden z nich byª wª¡czony do sekcji Trusted, a drugi do Optional routera).
Konguracja systemu Linux jako router
21
Skonguruj komputer pracuj¡cy pod kontrol¡ systemu Linux jako router dla dwóch podsieci. Komputer posiada 3 interfejsy typu Ethernet dost¦pne jako
eth0, eth1 oraz eth2.
Pierwszy z interfejsów
(eth0 ma posªu»y¢ jako poª¡czenie zewn¦trzne, pozostaªe jako podsieci wewn¦trzne (chronion¡ cz¦±¢
Trusted interfejs
eth1 oraz Optional
podsie¢ zawieraj¡ca serwery interfejs
kie wydane polecenia winny by¢ dopisane do pliku
/etc/rc.d/rc.local,
eth2).
Wszyst-
który jest wykonywany
pod koniec ka»dej inicjalizacji systemu.
2a
interfejs
eth0
External numer IP
192.168.5.___
255.255.255.0,
wy-
255.255.255.240,
wy-
255.255.255.240,
wy-
maska podsieci
peªnij tabel¦:
2b
interfers
eth0 External
adres IP
___.___.___.___
adres sieci
___.___.___.___
maska podsieci
___.___.___.___
broadcast
___.___.___.___
interfejs
eth1
Trusted podsie¢
192.168.6.___
z mask¡ podsieci
peªnij tabel¦:
2c
interfers
eth1 Trusted
adres IP
___.___.___.___
adres sieci
___.___.___.___
maska podsieci
___.___.___.___
broadcast
___.___.___.___
interfejs
eth2
Optional podsie¢
192.168.6.___
maska podsieci
peªnij tabel¦:
2d
interfers
eth2 Optional
adres IP
___.___.___.___
adres sieci
___.___.___.___
maska podsieci
___.___.___.___
broadcast
___.___.___.___
sprawd¹ poprawno±¢ tablicy routingu, ustal routowanie domy±lne (adres bramy (ang. default
gateway ) 192.168.5.1)
polecenie
route1 .
Wypeªnij tabel¦:
cel
maska celu
gateway
___.___.___.___
___.___.___.___
___.___.___.___
___.___.___.___
___.___.___.___
___.___.___.___
___.___.___.___
___.___.___.___
___.___.___.___
___.___.___.___
___.___.___.___
___.___.___.___
default
___.___.___.___
___.___.___.___
urz¡dzenie
2e
wezwij prowadz¡cego celem zwerykowania poprawno±ci konguracji;
2f
skonguruj komputery w podsieciach Trusted oraz Optional tak, aby miaªy ª¡czno±¢ ze
±wiatem (wybierz dowolne numery z podsieci w których s¡ podª¡czone);
1 akceptowalne
jest równie» zastosowanie polecenia
ip
2
Komputer w sieci Trusted
2g
Serwer WWW sie¢ Optional
adres IP
___.___.___.___
adres IP
___.___.___.___
adres sieci
___.___.___.___
adres sieci
___.___.___.___
broadcast
___.___.___.___
broadcast
___.___.___.___
maska podsieci
___.___.___.___
maska podsieci
___.___.___.___
default gateway
___.___.___.___
default gateway
___.___.___.___
popro± prowadz¡cego o wskazanie w laboratorium stanowiska, które b¦dzie peªniªo rol¦ komputera zewn¦trznego na potrzeby dalszych testów;
2h
przetestuj za pomoc¡ pakietów ICMP (ping) z komputerów w sieciach Optional oraz Trusted komputera zewn¦trznego dost¦pno±¢: ich bramy domy±lnej (default gateway); siebie
nawzajem; oraz komputera
213.180.130.200.
Wyniki przedstaw w tabeli wpisuj¡c tak lub
nie:
default
komp. w
komp. w
gateway
trusted
optional
trusted
zewn.
wª¡cz rutowanie pakietów pomi¦dzy interfejsami Linuxa (domy±lnie jest ono blokowane) po-
/proc/sys/net/ipv4/ip_forward;
sprawd¹ ponownie dost¦pno±¢ komputerów (jak w punkcie h) i wyniki zapisz w tabeli:
default
komp. w
komp. w
gateway
trusted
optional
trusted
zewn.
213.180.130.200
router
eth0
eth1
eth2
optional
zewn.
na komputerze znajduj¡cym si¦ w podsieci Optional uruchom serwer WWW (usªug¦ httpd),
utwórz przykªadow¡ stron¦ umieszczaj¡c plik
2l
eth2
przez wpisanie warto±ci 1 do pliku
2k
eth1
zewn.
2j
router
eth0
optional
2i
213.180.130.200
index.html
w katalogu
/var/www/html;
przetestuj z komputera w sieci Trusted oraz komputera zewn¦trznego ª¡czno±¢ z serwerem
WWW w sieci Optional poprzez protokoªy
http, ssh (wykorzystuj¡ce protokóª transportowy
TCP) oraz poprzez pakiety ICMP (ping). Wyniki umie±¢ w tabeli:
http
ssh
ICMP
trusted
zewn¦trzny
2m
22
wezwij prowadz¡cego celem zwerykowania poprawno±ci konguracji.
iptables:
Konguracja reguª rewalla z wykorzystaniem
2a
wª¡cz reguª¦ w ªa«cuchu FORWARD uniemo»liwiaj¡c¡ dost¦p z zewnatrz poprzez protokóª
2
ICMP do serwera WWW ;
2b
sprawd¹ dost¦pno±¢ serwera WWW poprzez protokoªy
http, ssh
oraz poprzez pakiety ICMP
(ping) z sieci wewn¦trznej (Trusted) oraz zewn¦trznej. Wyniki umie±¢ w tabeli:
http
ssh
ICMP
trusted
zewn¦trzny
2c
wezwij prowadz¡cego celem zwerykowania poprawno±ci konguracji.
2d
zabezpiecz serwer WWW w taki sposób aby usªuga
klientów w sieci Trusted natomiast usªuga
ssh
wanym rozwi¡zaniem jest umieszczenie w ªa«cuchu
j¡cej poª¡czenia wykorzystuj¡ce protokóª
http
byªa dost¦pna tylko dla naszych
byªa nadal dost¦pna dla wszystkich. Sugero-
ssh (tcp
FORWARD
dwóch regóª: pierwszej akceptu-
port numer 22), oraz drugiej odrzucaj¡cej
wszystkie poª¡czenia wchodz¡ce z zewn¡trz (z zewn¦trznego interfejsu).
2 polecenie iptables
ªa«cuch
FORWARD
interfejs wchodz¡cy
eth0
interfejs wychodz¡cy dowolny, adres ¹ródªowy dowolny,
adres docelowy równy adresowi serwera WWW, protokóª równy ICMP, akcja
3
REJECT
2e
sprawd¹ ile pakietów (oraz ile bajtów) zostaªo odrzucone/zaakceptowane przez poszczególne
reguªy, wyniki zanotuj:
pakiety
bajty
ping
ssh
reszta
2f
wezwij prowadz¡cego celem zwerykowania poprawno±ci konguracji.
4