Você está na página 1de 2

Pgina4

NATdeentrada:
#iptablestnatAPREROUTINGptcpdport80d
192.168.1.100jDNATto10.0.0.1

Aregraanteriordizquetudoquechegarparaaporta80
TCPdamquina192.168.1.100serredirecionadoparaa
mesmaportadamquina10.0.0.1.

RemovertodasasregrasdeNAT:#iptablestnatF
Maisdetalhes:http://eriberto.pro.br/iptables.

6.tcpdump
Mostrartodootrfego,semresolvernomes,naprimeira
interfacelistadacom#ifconfigoucom#tcpdumpD:
#tcpdumpn

Mostrartodootrfego,semresolvernomes,naeth1:
#tcpdumpnieth1

Mostrartodootrfego,semresolvernomes,emqualquer
interface:
#tcpdumpniany

Mostrartodootrfegoqueenvolva10.0.0.1:
#tcpdumpnhost10.0.0.1

MostrartodootrfegoqueenvolvaumMAC:
#tcpdumpnetherhost00:00:00:00:10:01

Mostrartodootrfegoqueenvolvaaporta80:
#tcpdumpnport80

Mostrartodootrfego,incluindoopayloadecamada2,
queenvolvaumIPeumaporta:
#tcpdumpnAehost10.0.0.1andport80

Gravarumtrfego:usewarquivo.dump
Lerumtrfego:userarquivo.dump

7.Controledetrfgo(delaypooleHTB)
Ocontroledetrfegodeterminacomoospacotesdevem
circularemumarede,deformajustaparatodos.

Nocontroledetrfegoabasedecimal.Assim,1MB/s
(megabyte/segundo)=1.000KB/s.Paraconverterpara
bits,multipliquepor8.Exemplo:1MB/s=8Mb/s.

Pgina5

DelaypoolummtododoSquidutilizadoparacontrolar
downloadporrede,subredeouIP.Maisreferncias
poderoservistasemhttp://bit.ly/delay_pool.

Odelaypoolutilizaoconceitodebaldesepossuias
seguintesclasses:
1:Apenasumbaldelimitaaredecomoumtodo.
2:Umbaldeatuasobretodaaredeeoutroconsidera
apenasoltimooctetodoIP.
3:Umbaldeatuasobretodaarede.Osegundosobreo
terceiroocteto.Oterceirosobreoterceiro
(novamente)eoquartoocteto.

GUIA Bsico de
redes TCP/IP no
Debian GNU/Linux
Verso1.231deoutubrode2014

HTBumdisciplinadecontrole,quepodesercombinada
comPRIO,possibilitantoocontroledequalquertrfego.
Istonodispensaousodedelaypool.Maisdetalhessobre
HTBemhttp://bit.ly/htb_iptables.

8.Algunscomandosteis
Verificartodasasportasservidoras:#neststattunlp
Acompanhartodootrfegoeusodolink:#iptraf
ConsultarIPounomeemDNS:
#aptgetinstalldnsutils
#nslookupwww.terra.com.br
#nslookup200.154.56.80

Especificaro8.8.8.8comoDNSdeconsulta:
#nslookupwww.terra.com.br8.8.8.8

Verificaodasituaodaplacaderedeelink:
#aptgetinstallethtoolnettools
#miitool
#ethtooleth0

9.Refernciasinteressantes
Eriberto(Site):http://eriberto.pro.br(especialateno
paraossubdiretrios/bloge/wiki)

LinuxAdvancedRouting&TrafficControl:

20112014byJooEribertoMotaFilho

http://eriberto.pro.br/eriberto@eriberto.pro.br

http://lartc.org

NetworkConfiguration:http://wiki.debian.org/\

Twitter:@eribertomota

NetworkConfiguration

Tcpdump:http://eriberto.pro.br/files/guia_tcpdump.pdf

4096R/04EBE9EF:357DCB0EEC95A01AEBA1F0D2DE63B9C704EBE9EF

Pgina1

1.Prembulo
Esteguiaderefernciafoicriadocomointuitodeservircomo
orientaoechecklistbsicoparaamontagemderedesde
computadorescomDebianGNU/Linux.Nosetratadealgo
avanado.apenasumaorientaogenrica.

2.ConfiguraoderedeIPv4
2.1EndereoIP,mscaraedefaultgateway
Arquivo/etc/network/interfaces.Exemplo:
autolo
ifaceloinetloopback
autoeth0
ifaceeth0inetdhcp
autoeth1
ifaceeth1inetstatic
address10.0.0.1
netmask255.0.0.0
gateway10.0.0.100
upechoAguarde...;/usr/local/bin/rotas.sh

Alinhaauto,casoexista,provocaraativaodainterface
juntamentecomobootdosistemaoperacional.Alinha
gatewayopcionalerefereseaodefaultgateway.Deverser
colocadanoblocoreferentemesmarede(ex:10.0.0.100
pertencerede10.0.0.0/8).Oparmetroupopcional.Tudo
queforcolocadodepoisdeleserexecutadoapsa
inicializaodaplacaderede.Excelenteopoparaativar
rotaseregrasdefiltrosdepacotes.Tambmhoparmetro
down.Poderhavervriaslinhascomupoudown.
Aconfiguraodeloopbackobrigatria.

PoderosercriadasaliasesdeIP(interfacesvirtuais).Com
isso,amesmainterfacerealpoderreceberdoisoumaisIPs
diferentes(virtuais).Bastaradicionarumnovoblocode
configuraocominterface:apelido.Ex:
autoeth1:teste
ifaceeth1:testeinetstatic
address192.168.1.1
netmask255.255.255.0

Depoisdeeditadooarquivodeconfigurao,utilizeo
seguintecomandoparaativarumadeterminadainterface:
#ifupeth1

Pgina2

Casodesejereiniciartotalmenteumainterface,faao
seguinte:
#ifconfigeth00.0.0.0
#ifdowneth0
#ifupeth0

Asinterfacesvirtuais(eth1:teste,porexemplo)deixarode
existircasoasreaissaiamdoar.Ainda,oantigocomando
/etc/init.d/networking(start|stop|restart)estemdesusoe
notemmaisoplenocontrolesobreasinterfacesderede.
Utilizesempreifupeifdown.

Obs:DESABILITEonetworkmanagernasmquinas.
2.2ServidoresDNS
OsservidoresDNSdeverosercitadosdentrode
/etc/resolv.conf.Exemplo:
nameserver8.8.8.8
nameserver208.67.222.222

OsendereosIPmostradospertencem,respectivamente,aos
DNSpblicosdoGoogleedoprojetoOpenDNS.Vocpoder
utilizlosnormalmentepararesolveralgonaInternet.Na
verdade,asduplasdeendereosso:8.8.8.8e8.8.4.4
(Google),almde208.67.220.220e208.67.222.222
(OpenDNS).Maisdetalhesemhttp://eriberto.pro.br/blog/?
p=849.

2.3Rotasestticasadicionais
Asrotasestticasadicionais(asquenosodefault
gateway)poderoserconfiguradascomocomandoroute.
Exemplos:
#routeaddnet172.16.0.0/16gw10.0.0.8

Nocomandoanteriorfoiditoqueserutilizadoogateway
10.0.0.8paraquecheguemosrede172.16.0.0/16.

Seforocaso,asrotascriadaspoderoserinseridasemum
updentrodoarquivo/etc/network/interfaces,como
mostradonoitem2.desteguia.

3.Configuraodebridge
Pacotenecessrio:
#aptgetinstallbridgeutils

Arquivo/etc/network/interfaces.Exemplo:
autolo
ifaceloinetloopback

Pgina3

autoeth0
ifaceeth0inetstatic
address127.0.0.2
netmask255.0.0.0
autoeth1
ifaceeth1inetstatic
address127.0.0.3
netmask255.0.0.0
autobr0
ifacebr0inetstatic
address10.0.0.1
netmask255.0.0.0
gateway10.0.0.100
bridge_portseth0eth1

Foramatribudosendereosdaredeloopbacksinterfaces
eth0eeth1.Ainterfacebr0(bridge),foicriadacomendereoIP
edefaultgateway.Depois,asinterfaceseth0eeth1foram
associadas.Assim,serpossvelacessarabridgeporSSHou
outromtodo.Noentanto,abridgenoprecisadeIPacessvel:
autobr0
ifacebr0inetstatic
address127.0.0.4
netmask255.0.0.0
bridge_portseth0eth1

Ocomando#brctlshowmostraasituaodabridge.
Maisdetalhes:http://bit.ly/bridge_debian.

4.IPforward
OIPforwardumprocedimentoquepermiteapassagemde
dadosentreplacasderedeemumamesmamquina.Ele
obrigatrioemroteadoreseelementosdefirewallqueatuamna
camada3(OSI).Paraativar,editeoarquivo/etc/sysctl.confe
descomentealinha:
net.ipv4.ip_forward=1

Aseguir,apliqueocomando:#/etc/init.d/procpsstart

5.NATcomIptables
NATdesada:
#iptablestnatAPOSTROUTINGoeth1jMASQUERADE

Aregraanteriordizquetudooqueforsairpelainterface
eth1sofrerNAT,recebendooIPdetalinterface.