Rotas de Rede - RedeCASD

Victor da Silva Montalvo

Quarta 11/04/2012

Interfaces de rede Comunicao em redes Configurao de Rotas Redes virtuais Explorao de redes

Routes
Connecting Networks

Interfaces de Rede

Ethernet

USB

Serial

Paralela

Dispositivo eletrnico que intermedia a comunicao entre as mquinas

Fsica: Placas ethernet, wireless, etc (ex. eth0) Virtual: Emulam configuraes de dispositivos reais (ex. loopback lo 127.0.0.1/8)

Configurando Interfaces

Manipular interfaces: ip link [-s]

ip link set DEVICE { up | down} ip link add link DEVICE NAME type TYPE id # ip link delete DEVICE type TYPE TYPE := vlan

Configurar endereos: ip addr

ip addr { add | del } IFADDR dev STRING IFADDR := [broadcast] ADDR

Para configurao automtica: dhclient

Packages net-tools vs. iproute

apt-cache show net-tools iproute

no repositrio do ubuntu (hardy), iproute required e nettools important. Qual vc acha que mais importante?
Purpose Address and link configuration Routing tables Neighbors VLAN Tunnels Multicast Statistics net-tools ifconfig route arp vconfig iptunnel ipmaddr netstat

iproute
ip addr, ip link

ip route ip neigh ip link ip tunnel ip maddr ss

Ver man ip e ip OBJECT help

Comunicao em rede interna

Pacotes ARP(REQUEST/RESPONSE) e ARP spoofing Cache ARP e Resoluo de Endereos: obter MAC Addresses, manter tabela em cache IP MAC
ARP Reverso, DHCP e NDPNeighborDiscoveryProtocol (IPv6)

Manipular tabela de resoluo:

ip neigh

ip neigh { list | flush } dev DEVICE ip neigh { add | del } ADDR

Packages iputils-* e traceroute

ping [-s #] [-i #] destination

exibe latncia e perdas de pacotes ICMPInternetControlMessageProtocol

arping -I interface destination tracepath [-b] destination

exibe latncia de pacotes ARP e MAC address

exibe MTUMaxTransmissionUnit dos pacotes ICMP transmitidos

traceroute [-n] destination

exibe caminho dos pacotes ICMP transmitidos

mtr [-s #] [-i #] destination

traceroute+ping

Comunicao com rede externa

Muitos dispositivos Segurana

Velocidade

Estruturao de redes e rotas

Roteadores

Conectam redes distintas (LAN +WAN) Utilizam connectionless communication: permitem multicast e broadcast

Tabela de Roteamento

ip route

ip route { list | flush } ip route get ADDRESS ip route { add | del | change } ROUTE
ADDRESS: host(10.0.0.1) ou rede(10.0.0.0/24) ROUTE: ADDRESS dev INTERFACE { ADDRESS | default } via ADDRESS

Configurando rotas e redes

Redes so criadas atravs da configurao das interfaces e das rotas Exemplo:

@labrede1: @labrede2: @labrede2: @labrede2: @labrede1:

ip addr change 10.0.0.1 dev eth1 ping 10.0.0.1 ip route add 10.0.0.1 dev eth0 ping 10.0.0.1 tenta a internet e dhclient

Porque eu consigo me comunicar alterando apenas meu endereo para um vlido na rede?

Redes virtuais (VLANs e VPNs)

Compartilhar recursos de rede Domnios de broadcast e de coliso Implementadas sobre outra rede fsica VLANs podem ser configuradas por IPs, MACs, sub-redes, portas de comutadores gerenciveis utilizam a rede pblica (internet)

VirtualLocalAreaNetwork

VPNs

VirtualPrivateNetwork

Interfaces virtuais

Definir interface virtual: ip link add

ip link add link DEVICE NAME type TYPE id # ip link delete DEVICE type TYPE TYPE := vlan

Configurar interface virtual:

ip link set DEVICE { up | down} ip addr { add | del } IFADDR dev STRING IFADDR := [broadcast] ADDR

Forwarding

Roteadores precisam ativar forwarding de IPs para transmitir pacotes recebidos O kernel a parte do sistema que gerencia os recursos fsicos do sistema (hardware) Arterar arquivo do kernel (/proc):

/proc/sys/net/ipv4/ip_forward para 1 ou editar /etc/sysctl.conf e reiniciar

Atividade Prtica

VLAN Token Ring

Criar interface virtual Configurar endereo da rede Adicionar gateway para rede virtual Ativar Forwarding

Atividade Prtica Token Ring

ip l a l ethy NOME type vlan id 1 ip addr add 10.0.0.x/24 dev NOME ping 10.0.0.y iproute add 10.0.0.x+1 dev NOME iproute change 10.0.0.x/24 via 10.0.0.x+1 ping 10.0.0.x-1
Ativarem ip_forward: /proc/sys/net/ipv4/ip_forward

ping 10.0.0.x-1 traceroute 10.0.0.x-1

Fim?

Atividade Extra - Roteamento

Utilizar Labrede1 como Roteador

Colocar eth0 do Labrede1 na mesma rede fsica do meu note (IP: 11.04.20.12/24) ip addr add 11.04.20.11/24 dev eth0 Definir Labrede1 como roteador default ip route add IPlabrede1 dev IFACE ip route add default via IPlabrede1 Digitar 11.04.20.12 em seu navegador

Scripts de Inicializao

Para configurar interfaces, ver man interfaces Criar um Script de inicializao para executar uma sequncia de comandos:
nano /etc/init.d/rotascript #!/bin/bash (interpretador do script) comandos (separados por linha)

Tornar arquivo executvel com chmod +x Testar: service rotascript ou ./rotascript Para executar na inicializao, adicionar o local ao final de /etc/rc.local

Portas de Software

Conexo virtual para a transmisso de dados Especficas para aplicativos ou processos Protocolos de camada de aplicao (layer4) Socket: IP + Porta. Identifica unicamente um aplicativo ou servidor em rede IP Utilizados para IPC(ver link)

Principais portas: ECHO:7/tcp&udp, FTP: 20e21/tcp,

SSH: 22/tcp&udp, SMTP: 25/tcp&udp, DNS: 53/tcp&udp, DHCP: 67e68/udp, HTTP: 80/tcp, , HTTPS:443/tcp

ICMP(layer3) utiliza ECHO e ARP(l2) ativado na interface

Roteamento Avanado - Regras

Tabelas de Roteamento: local, main, default Regras Tabelas (em /etc/iproute2/rt_tables) ip rule list e ip route list table TABELA (Menor nmero: maior prioridade)

ip rule { list | flush } ip rule { add | del } SELECTOR ACTION SELECTOR:= [not] { from | to } ADDRESS ACTION:= [priority # table TABLE_ID] [nat ADDRESS] [prohibit|reject|unreachable]

Exemplos de Regras

Criando Regras:

ip rule add from ip rule add from (deprecated) ip rule add from ip rule add from

192.168.72.0/21 table 2 192.168.72.0/21 nat ADDRESS 192.168.4.0/24 reject 192.168.4.0/24 prohibit

Tb pode-se escolher a tabela da rota colocando

table TABLE_ID ao final de comando com ip route

Iptables
tabela:= FILTER(default), NAT, MANGLE ou RAW
(-A=add e -D=delete)

iptables [-t tabela] {-A, -D} rule

rule:= chain param -j action chains(-t FILTER): INPUT, OUTPUT ou FORWARD chains(-t NAT): PREROUTING, POSTROUTING param:= {-i, -o} IFACE, {-d, -s} ADDR ou -p {tcp, udp} {--dport, --sport} porta actions(-t FILTER): ACCEPT, REJECT ou DROP actions(-t NAT): MASQUERADE ou DNAT --to ADDR

iptables -F (flush) iptables -P chain action (default policies)

Explorao de Redes

nmap

Diversos Pacotes IP Escaneia hosts disponveis, servios, sistema operacional, etc

Use com DC!

nmap -sP 192.168.72.0/21 (hosts e MACs) nmap -sS ADDRESS (portas e servios) nmap -O ADDRESS (Sistema operacional)

Termos tcnicos relacionados

Datagrama ou pacote: unidade dos dados para transmisso sobre diversas redes. Encapsula fraes de informaes de aplicativos (dados) em seu corpo e possui endereos IP, protocolo alm de dados para sincronizao em seu cabealho Frame ou quadro: unidade de dados para trasmisso em rede interna. Encapsula um pacote e adiciona endereos MAC Host: dispositivo conectado a uma rede Rede fsica: Conjunto de hosts que pertencem mesma classe de endereos e se comunicam pela mesma interface Bridge: segmento independente da(s) rede(s) que transmite pacotes para endereos MAC vlidos do outro lado da ponte (Camada 2) Backbone: Espinha dorsal(estrutura de base) da rede para se conectar internet. Estrutura que no de domnio da rede Latncia: tempo que o pacote demora para chegar ao destino