Escolar Documentos
Profissional Documentos
Cultura Documentos
REDES DE COMUNICAO
MDULO 07C SERVIOS DE REDE
Um servidor Linux fornece alguma segurana em termos de ataques e acesso remoto. Para que um servidor Linux possa encaminhar pedidos para outras redes, necessita de duas placas de rede e uma aplicao que proceda ao encaminhamento. Neste processo necessrio configurar cada placa para cada uma das redes. No caso do encaminhamento, atravs da aplicao iptables, poss vel controlar todo o trfego que passa de uma rede para a outra atravs do servidor !vulgarmente conhecido por Firewall". IMPLEMENTAO
NOTAS: Posto 1 # est na rede da escola com toda a configurao normal por $%&P. eth0 # dever estar ligada ' rede f sica da escola. eth1 # dever estar ligado fisicamente ' rede 172.16.0.0/16, com o (P
definido e no ter qualquer gate)a* definido !ser o mesmo que eth0, 10.0.0.1". 172.16.0.254 # um servidor interno com apache + existente na rede e ligado fisicamente ' rede 172.16.0.0/16. Posto 2 # dever estar ligado fisicamente ' rede 172.16.0.0/16, e configurado com as respectivas defini,es de rede. $ever registar todos os comandos utili-ados e outputs o.tidos, .em como conte/dos de ficheiros pertinentes !interfaces, resolv.conf, etc..." do servidor e dos postos.
0rio Pinto
123
455674525
89$9: $9 &;0UN(&<=>;
MASQUERADING ; masquerading a designao da tcnica que permite que vrios computadores possam aceder ' (nternet utili-ando um router com um /nico (P p/.lico. < designao correcta N<? # Network Address Translation, que na prtica mais no do que utili-ao de diversas portas num /nico (P, permitindo assim criar esse n/mero de (P@s virtuais para que as mquinas locais possam esta.elecer liga,es com mquinas externas. Para permitir que o servidor se torne num router com masquerading, necessrio ter configuradas as rotas e executar os seguintes comandosA
modprobe iptable_nat iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE echo 1 > /proc/sys/net/ipv4/ip_forward 2. B carregado o mCdulo que permite efectuar o N<?A iptable_nat
4. B acrescentada um regra ' ta.ela N<? !-t nat -A" para que todos os pacotes que saiam pela interface eth5 !-o eth0", apCs o routing !POS !O" #$%" sofram o masquerading !-& 'AS(")!A*)" D. <ctivar o encaminhamento por (P Euesto 2. &onfigure a rede de cada interface no servidor e verifique se esto correctamente ligadas a cada uma das redes f sicas distintas !escola e local". Euesto 4. No Posto 2 defina as configura,es de rede eA Ferifique a conectividade com o !+ !172.16.0.22,". Ferifique a conectividade com o servidor interno !172.16.0.254". Ferifique a conectividade com a interface externa do !+ !10.0.0.22,". Ferifique a conectividade com o gate)a* da escola !10.0.0.1". <pCs tudo isto o que pode concluir. Euesto D. No servidor, como root, crie um ficheiro nat.sh. Nele introdu-a os comandos vistos acima !-o.probe /". <ltere as permiss,es para permitir a sua execuo !0 ch-o. 700 nat.sh" e executeGo !0 ./nat.sh". Euesto H. 8epita os passos da 9rrorA 8eference source not found; que pode concluir.
0rio Pinto
143
455674525
89$9: $9 &;0UN(&<=>;
IPTABLES ; iptables encontraGse em.utido no n/cleo de grande parte das distri.ui,es Linux. Permitindo assim que todos os sistemas possuam por defeito uma firewall prCpria. <travs da configurao do iptables poss vel criar regras de trfego para permitir ou recusar a entrada7sa da de pedidos pelo servidor. Neste Im.ito h sempre que considerar duas redes fisicamente independentesA interna e externa. <ssim, todo o trfego dirigido para -ona interna ter que passar pelo servidor7fire)all, podendo este filtrar o que pode ou no entrar e qual o seu destino. No sentido inverso, tam.m todo o trfego dirigido da rede interna para a rede externa poder ser filtrado. ; iptables configurado ao vivo, isto , atravs de comandos e no de ficheiros de configurao. <ssim, todas as regras ficam em memCria e, ao ser iniciado o servidor ou limpas todas as ta.elas do iptables !tam.m poss vel limpar as ta.elas com o comando iptables -1", perdemGse para posterior uso. B por isso que convm utili-ar um script para iniciali-ar todas as regras de trfego definidas para a firewall. Para ver as regras existentes .asta efectuarA iptables -2
Chain INPUT (policy ACCEPT) target prot opt source destination Chain FORWARD (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination
#$P" # regras para o trfego de entrada no servidor !que vem de fora". 1O!3A!* # regras para o trfego que ser encaminhado para um (P na rede
interna do servidor.
A44)P # o trfego da regra aceite. !)5)4 # o trfego da regra re+eitado e o remetente informado disso. *!OP # o trfego da regra re+eitado mas o remetente no rece.e qualquer
informao.
0rio Pinto
1D3
455674525
89$9: $9 &;0UN(&<=>;
Euesto J. No seu servidor proceda da seguinte formaA <ceda ao ficheiro nat.sh criado anteriormente e adicione a regra para permitir que o trfego de entrada em eth5 na porta K5 se+a encaminhado para o servidor interno na mesma porta.
Euesto L. No Posto 1A Ferifique a conectividade com o !+ !10.0.0.22,". Ferifique a conectividade com o !+ na interface interna !172.16.0.22,". Ferifique a conectividade com o servidor interno !172.16.0.254". ; que pode concluir. Euesto M. No Posto 1A <travs do browser aceda ao servidor )e. interno !172.16.0.254". <travs do browser aceda ao endereo externo do !+ !10.0.0.22,". ; que pode concluir.
0rio Pinto
1H3
455674525