aazor7 Laboratéia de Redes 20102011 Trabalho 3 - DHCP e NAT 2010-2011 Teoria/HowTo + DHCP - Dynamic Host Configuration Protocol © Linux = ISCDHCP = an dhend.con = san chep-options = DHCP commands = Configuring DACP. = Dynamically Configuring DHCP Server Options Network Address Translation © RECs = REC 3022 - Traditional IP Network Address Translator (Traditional NAT = REC 1918 - Address Allocation far Private Intemels, = REC 2093 - Architectural Implications of NAT Allocation for Private Internets © Limx = NAT HowTo com netilter (iptables) = Masquerading 1 Flush das iptables (limpar todas as regras de todas as chains): iptables -© © Cisco = NAT commands = NAT (Nenwork Address Translation = How NAT work = Cisco TOS Network Address Translation Overview How NAT Handles ICMP Fragments Notas prévias + Antes de comesar a montagem, ligue 0 router Linux i Internet e instale o servidor de DHCP usando 0 comando urpri ‘hop-server. + Para a rede emulada funcionar correctamente, o terminal | néo deve ter nenhum enderego IP atibuido interface ethe, Pode fazer com que assim seja usando ifdoun ethe. + Pode utilizar este ficheiro de topolagia no GNS3, + Ao fechar o GNS3, a interface tape & “destruida”,sendo eriada de novo com um enderego MAC diferentequando o ‘oltar a corer, Para cvitar ter que reconfigurar no router Cisco a entrada manual no DHCP para o Terminal 1, da primeira vez que corre a emulagdo da rede deve verificar que enderego MAC foi atribuido a tap@ e fixé-lo adicionando 20 ficheiro /etc/sysconTig/network-seripts/iferg-tape a linha MACADDR- Objective Implementar uma rede com a seguinte configuragio hipssiawu.dec fe. up p=porandaateulas/1011/LabRedesitabalhosirabhimlaazo17 Laboratéia de Redes 20102011 Router Linux Rede emulada no Terminal 1 Sa tho: 192.188,56.5 192.168.56.0/24 (rede do lab.) Ro £1/0: 192,168.55. (tho) fai: 172.601 ConfiguracSofisica ethos (dhep} Jetho: (dhcp) Notas: + Osenderesos 192,168.56. 192.168.56.b #80 atribuidos pelo servidor de DHCP do laboratério +O terminal 2 estéinicialmenteligado a0 Router Linux, mas durante trabalho sera ligado a0 switch emulado Terminal Terminal 2 (fisieamentelligado a interface etht do terminall} Terminal 2 apo: (ahep) com a seguinte configuragio logica: Router Linux tho: 192.169.56.5 f1/o: 192.168.56. 192.168,56.0/24 (rade do lab.) fasts 172.1604 Configuragaologica 10.0.00/28 Notas: + Osenderesos 192.168.56.a & 192.168.56.b s8o atribuidos pelo servidor de DHCP do laboratério + O terminal 2estdinicialmenteligads a0 Router Linux, mas durante 6 trabalho 22 ligada ao switeh emulade Terminal Terminal 2 (fisieamentelligado a interface etht do terminall} Ter Montagem + Router Cisco (RO) © DHCP * Pool de enderegos a atribuir dinamicamente: 172.16,0,50 a 172.16.0.150 1» Enderego 172.16.0.11 reservado para o terminal 1 ' Alem do endereco IP, deverdo ser configurados por DHCP 1» Servidor de DNS (usar 0 da rede do laborat6rio) = Default gateway ‘= Miscara de rede = Nome do dominio 1 Configure a duragdo das leases. Indique o valor escolhido. © NAT = Configurar overloading (PAT) = Rediteecionar (port forwarding) a porta 8022 da interface exterior (1/0) para a porta 22 (ssh) do terminal 1 + Router Linux © DIICP ' Poo! de enderegos a atribuir dinamicamente: 10.0.0.50 a 10.0.0.150 1 Enderego 10.0.0.22 reservado para o terminal 2 ‘= Além do enderego TP, deverdo ser configurados por DHCP hipssiawu.dec fe. up p=porandaateulas/1011/LabRedesitabalhosirabhiml 2892017 Laboratéia de Redes 20102011 Servidor de DNS (usar o da rede do laboratério) Default gateway Mascara de rede Nome do dominio = Configure a duragdo das leases (padrao e maxima). Indique os valores escothidos. © NAT = Configure as iptables para masquerading, isto &, source NAT usando o enderese (dindmico) da interface eth © Deve ter a correr o servidor de SSH. + Terminais © Devem ser configurades por DIICP © Devem ter a carrer os servidores de SSH e de FTP Entregavets + dump da configuragio das miquinas linux (router ¢terminais), devidamente identificedas tabela de encaminhament (raure =n) configuragio IP (ifcontig) icheiro cesolv.conf fragmentos de ficheiros de configuragao pedidos nas questdes indicadas como cones ficheiro dhepd. cont (apenas no Router Linux) configuragao iptables do Router Linux (iptables-save) + dump da configurasio do router Ciseo © show running-config © show ip route © show ip nat translations © show ip dhep bindings. + sereenshals! ficheizos de texto com os traces pedidos identificando a questio em que foram pedidas «© eventuais filtro efectuados nos analisadores de protocolo deverdo ser identificados com as capturas «© resultados de traceroute ou outros comandos deverio ser em txt, eso indicados nas questdes como irRes © capturas de tepdump deverdo ser em txt © capturas de wireshark deverio ser em png © anecessidade de resposta com captura ¢ indicada com capRes, Podendo ser com tepdump ou wireshark. + respostas s questéies em ficheiro (pat, odt, doc, tx) °° anecessidade de resposta textual ¢ indicada com fexRes Questdes/Traces/Anlise 1. No router RO active o debugging do NAT com o comando debug ip nat detailed . No terminal 1, aceda & pagina web ‘do DCC, Com base no output de RO, explique o traballio do NAT (irRes + texRes) 2. Do terminal 1, faga um ssh para a interface eth0 do Router Linux. Nessa shell, corra o comando wnile true; do echo hello; sleep 2; done para que o servidor ssh vi gerando pacotes. Explique o que acontece quando usa 0 comando clear ip nat translation +e comente a afirmacdo "Quando usamos NAT com traduedo de portas os fluxos de pacotes passam de connectionless para connection-oriented”,(texRes) NOTA: Eventualmente, pode ter que corret mais que wma vez 6 comando para limpar os mapeamentos NAT, pois o que acontece depende da ordem dos pacotes de entrada e saida 3. Faga agora um ssh do router linux para o terminal 1 ‘a. Indique o comando utiizado. (lexRes) b. Identifique uma situagao em que & nevessétio fazer port forwarding usando uma porta nio-standard.(texRes) 4, No Router Linux, cetifique-se de que o servidor de ip no esté a corver. Ponha o wireshark a capturar em todas as imerfaces, Do terminal |, tente fazer um fip para o terminal 2 fazer download um ficheiro. Jutifique 0 insueesso deste procedimento. (capRes + texRes) 'b. No router Linux, redireecione (port forwarding) a porta 21 da imerface exterior (eth0) para a porta 21 (fp) do terminal 2. (confRes) «. Tente novamente fazer o fipc transferir um ficheiro © coments 0s resultados. capRes ~ rexRes) 4d. No router RO, redireccione a porta 21 da interface externa para a porta 21 do terminal 1. (con/Res) «. Tente agora fazer um fip do terminal 2 para o terminal I e transferir um ficheiro. Comente os resultados. (capes + texRes) £ No router Linux, instale o médulo de suporte NAT para fip usando 0 comando modprobe nf_nat_ftp. Repita a linea anterior, (capRes * fexRes) 5, Mova o terminal 2 para a rede da esquerda (172.16.0.0/24. 4, Faga uma captura wireshark na interface tap0 do terminal | e outra na interface eth0 do terminal 2. Faga restart 20 servigo de rede em ambos os termina. (eapRes) NOTA: Para evilar que o wireshark interrompa a captura ao reiniciar a rede, deve desactivar a interface, iniciar a captura e entéo voltar a activar a interface, 'b, Apenas a partir das mensagens capturadas ¢ possivel saber qual dos dois tem um endereyo estitieo? Justifique (exes) Woe BEG woe sp ttima Actualizacdo: 5 de Abril de 2011 ipsa. dec f.up pl=porandaateulas/1011/LabRedesitabalhsirabhiml 38