CURSO PROFISSIONAL DE TCNICO DE PROGRAMAO DE SISTEMAS INFORMTICOS

REDES DE COMUNICAO
MDULO 07C SERVIOS DE REDE

FICHA DE TRABALHO #08

LINUX ROUTER IPTABLES

Um servidor Linux fornece alguma segurana em termos de ataques e acesso remoto. Para que um servidor Linux possa encaminhar pedidos para outras redes, necessita de duas placas de rede e uma aplicao que proceda ao encaminhamento. Neste processo necessrio configurar cada placa para cada uma das redes. No caso do encaminhamento, atravs da aplicao iptables, poss vel controlar todo o trfego que passa de uma rede para a outra atravs do servidor !vulgarmente conhecido por Firewall". IMPLEMENTAO

NOTAS: Posto 1 # est na rede da escola com toda a configurao normal por $%&P. eth0 # dever estar ligada ' rede f sica da escola. eth1 # dever estar ligado fisicamente ' rede 172.16.0.0/16, com o (P

definido e no ter qualquer gate)a* definido !ser o mesmo que eth0, 10.0.0.1". 172.16.0.254 # um servidor interno com apache + existente na rede e ligado fisicamente ' rede 172.16.0.0/16. Posto 2 # dever estar ligado fisicamente ' rede 172.16.0.0/16, e configurado com as respectivas defini,es de rede. $ever registar todos os comandos utili-ados e outputs o.tidos, .em como conte/dos de ficheiros pertinentes !interfaces, resolv.conf, etc..." do servidor e dos postos.

0rio Pinto

123

455674525

89$9: $9 &;0UN(&<=>;

MASQUERADING ; masquerading a designao da tcnica que permite que vrios computadores possam aceder ' (nternet utili-ando um router com um /nico (P p/.lico. < designao correcta N<? # Network Address Translation, que na prtica mais no do que utili-ao de diversas portas num /nico (P, permitindo assim criar esse n/mero de (P@s virtuais para que as mquinas locais possam esta.elecer liga,es com mquinas externas. Para permitir que o servidor se torne num router com masquerading, necessrio ter configuradas as rotas e executar os seguintes comandosA
modprobe iptable_nat iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE echo 1 > /proc/sys/net/ipv4/ip_forward 2. B carregado o mCdulo que permite efectuar o N<?A iptable_nat

4. B acrescentada um regra ' ta.ela N<? !-t nat -A" para que todos os pacotes que saiam pela interface eth5 !-o eth0", apCs o routing !POS !O" #$%" sofram o masquerading !-& 'AS(")!A*)" D. <ctivar o encaminhamento por (P Euesto 2. &onfigure a rede de cada interface no servidor e verifique se esto correctamente ligadas a cada uma das redes f sicas distintas !escola e local". Euesto 4. No Posto 2 defina as configura,es de rede eA Ferifique a conectividade com o !+ !172.16.0.22,". Ferifique a conectividade com o servidor interno !172.16.0.254". Ferifique a conectividade com a interface externa do !+ !10.0.0.22,". Ferifique a conectividade com o gate)a* da escola !10.0.0.1". <pCs tudo isto o que pode concluir. Euesto D. No servidor, como root, crie um ficheiro nat.sh. Nele introdu-a os comandos vistos acima !-o.probe /". <ltere as permiss,es para permitir a sua execuo !0 ch-o. 700 nat.sh" e executeGo !0 ./nat.sh". Euesto H. 8epita os passos da 9rrorA 8eference source not found; que pode concluir.

0rio Pinto

143

455674525

89$9: $9 &;0UN(&<=>;

IPTABLES ; iptables encontraGse em.utido no n/cleo de grande parte das distri.ui,es Linux. Permitindo assim que todos os sistemas possuam por defeito uma firewall prCpria. <travs da configurao do iptables poss vel criar regras de trfego para permitir ou recusar a entrada7sa da de pedidos pelo servidor. Neste Im.ito h sempre que considerar duas redes fisicamente independentesA interna e externa. <ssim, todo o trfego dirigido para -ona interna ter que passar pelo servidor7fire)all, podendo este filtrar o que pode ou no entrar e qual o seu destino. No sentido inverso, tam.m todo o trfego dirigido da rede interna para a rede externa poder ser filtrado. ; iptables configurado ao vivo, isto , atravs de comandos e no de ficheiros de configurao. <ssim, todas as regras ficam em memCria e, ao ser iniciado o servidor ou limpas todas as ta.elas do iptables !tam.m poss vel limpar as ta.elas com o comando iptables -1", perdemGse para posterior uso. B por isso que convm utili-ar um script para iniciali-ar todas as regras de trfego definidas para a firewall. Para ver as regras existentes .asta efectuarA iptables -2
Chain INPUT (policy ACCEPT) target prot opt source destination Chain FORWARD (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination

CHAINS Cadeias de regras

#$P" # regras para o trfego de entrada no servidor !que vem de fora". 1O!3A!* # regras para o trfego que ser encaminhado para um (P na rede

interna do servidor.

O" P" # regras para o trfego de sa da da rede interna do servidor.

POLICY Polticas para o trfego

A44)P # o trfego da regra aceite. !)5)4 # o trfego da regra re+eitado e o remetente informado disso. *!OP # o trfego da regra re+eitado mas o remetente no rece.e qualquer

informao.

0rio Pinto

1D3

455674525

89$9: $9 &;0UN(&<=>;

Configurao de regras de trfego

Para configurar as regras de trfego utili-aGse o comando iptables seguido de informa,es so.re a chain, pol tica e especificidades da regra. ; exemplo seguinte permite que todos os pacotes tcp que chegam ' interface eth0 com destino ao endereo 10.0.0.22, na porta 60, so encaminhados para o endereo 172.16.0.254 na mesma porta. (sto feito antes do routing !P!)!O" #$%"A
iptables -t nat -A P!)!O" #$% -i eth0 -. 10.0.0.22, -p tcp --.port 60 -& *$A --to 172.16.0.254

Euesto J. No seu servidor proceda da seguinte formaA <ceda ao ficheiro nat.sh criado anteriormente e adicione a regra para permitir que o trfego de entrada em eth5 na porta K5 se+a encaminhado para o servidor interno na mesma porta.

9limine todas as regras comA iptables -t nat -1 Folte a executar o script.

Euesto L. No Posto 1A Ferifique a conectividade com o !+ !10.0.0.22,". Ferifique a conectividade com o !+ na interface interna !172.16.0.22,". Ferifique a conectividade com o servidor interno !172.16.0.254". ; que pode concluir. Euesto M. No Posto 1A <travs do browser aceda ao servidor )e. interno !172.16.0.254". <travs do browser aceda ao endereo externo do !+ !10.0.0.22,". ; que pode concluir.

0rio Pinto

1H3

455674525