EJERCICIOS DE REDES. 1. Configurar por completo la red mostrada en el siguiente diagrama:

Transcripción

1 EJERCICIOS DE REDES 1. Configurar por completo la red mostrada en el siguiente diagrama: NOTA: no tenemos la posibilidad de configurar el router con ip (manejado por otro administrador), de ahí que hemos introducido un router que gestionará toda nuestra red ( ). Aspectos a tener en cuenta a la hora de realizar el diseño: Las redes /16 y /16 no deben estar comunicadas, a excepción de los equipos U4 y U7 que deben estarlo para poder establecer una VPN entre ellos (no son accesibles a través de internet, por eso se tendrá que añadir una ruta estática a mayores). En U2 y U5 hay firewalls que impiden el acceso del exterior, pero permiten que los PCs de la red interna puedan acceder a internet a través de los puertos destinados a servicios web, dns y ftp. Mediante el acceso desde la red al router U1 se deben servir los servicios FTP, Web y Servidor multimedia al exterior (NAT). El resto de servicios serán servidos por el PC situado en la zona desmilitarizada (U8).

2 SOLUCIONES U1 : #Permitir reenvío de paquetes IP echo 1 > /proc/sys/net/ipv4/ip_forward #Establecer direcciones ip de las interfaces ip addr add /24 dev eth0 ip addr add /24 label eth0:0 dev eth0 #Activar la interfaz #Definir rutas para este router ip route add default via #Iniciar el firewall (iptables - netfilter) /etc/init.d/firewall start #Nota: se debe crear un enlace simbólico (ln -s) en /etc/init.d/firewall que apunte al fichero./iptables_001 Fichero iptables IPTABLES="/sbin/iptables" MODPROBE="/sbin/modprobe" RMMOD="/sbin/rmmod" case $1 in start) #Políticas por defecto: aceptar todos los paquetes #redirigimos al servidor en la zona DMZ todas las peticiones de la red externa $IPTABLES -t nat -A PREROUTING -s j DNAT --to #redirigimos a los respectivos servidores las peticiones externas #servidor web $IPTABLES -t nat -A PREROUTING -s /24 -p tcp --dport 80 -j DNAT --to :80 $IPTABLES -t nat -A PREROUTING -s /24 -p tcp --dport 443 -j DNAT --to :80 #servidor multimedia $IPTABLES -t nat -A PREROUTING -s /24 -p tcp --dport j DNAT --to :14220 #servidor ftp $IPTABLES -t nat -A PREROUTING -s /24 -p tcp --dport 21 -j DNAT --to :21 #ip masking: dar internet a toda la red interna $IPTABLES -t nat -A POSTROUTING -s /24 -j MASQUERADE #módulos para trabajar con FTP (connection tracking y nat) $MODPROBE nf_conntrack_ftp

3 stop) $MODPROBE nf_nat_ftp #Política no restrictiva al detener el servicio #Eliminar las reglas definidas $IPTABLES -t filter -F INPUT $IPTABLES -t filter -F OUTPUT $IPTABLES -t filter -F FORWARD $IPTABLES -t nat -F PREROUTING $IPTABLES -t nat -F POSTROUTING #Desactivar los módulos para trabajar con FTP $RMMOD nf_nat_ftp $RMMOD nf_conntrack_ftp restart) $0 stop $0 start esac U2 echo 1 > /proc/sys/net/ipv4/ip_forward ip addr add /24 dev eth0 ip addr add /16 label eth0:0 dev eth0 ip route add default via /etc/init.d/firewall restart Fichero de iptables IPTABLES="/sbin/iptables" MODPROBE="/sbin/modprobe" RMMOD="/sbin/rmmod" case $1 in start) #Políticas por defecto: ignorar todos los paquetes $IPTABLES -t filter -P INPUT DROP $IPTABLES -t filter -P OUTPUT DROP #Aceptar peticiones icmp $IPTABLES -t filter -A INPUT -p icmp -j ACCEPT $IPTABLES -t filter -A OUTPUT -p icmp -j ACCEPT

4 #Aceptar peticiones DNS (necesario para resolución de nombres) $IPTABLES -t filter -A OUTPUT -p tcp --dport 53 -j ACCEPT $IPTABLES -t filter -A OUTPUT -p udp --dport 53 -j ACCEPT #Aceptar peticiones de páginas web en el exterior $IPTABLES -t filter -A OUTPUT -p tcp --dport 80 -j ACCEPT $IPTABLES -t filter -A OUTPUT -p tcp --dport 443 -j ACCEPT #Aceptar peticiones FTP salientes $IPTABLES -t filter -A OUTPUT -p tcp --dport 21 -j ACCEPT #Servicios de la red #Aceptar conexiones por SSH de la red /24 $IPTABLES -t filter -A INPUT -s /24 -p tcp --dport 22 -j ACCEPT #aceptar los paquetes relacionados con la web y el servidor multimedia $IPTABLES -t filter -A INPUT -p tcp --dport 80 -j ACCEPT $IPTABLES -t filter -A INPUT -s /16 -p tcp --dport j ACCEPT #Redirigimos a los respectivos servidores $IPTABLES -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to :80 $IPTABLES -t nat -A PREROUTING -p tcp --dport j DNAT --to :14220 #ip masking $IPTABLES -t nat -A POSTROUTING -s /16 -j MASQUERADE #Connection tracking, necesario para dar y recibir respuestas $IPTABLES -t filter -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT $IPTABLES -t filter -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT $MODPROBE nf_conntrack_ftp $MODPROBE nf_nat_ftp stop) #Política no restrictiva al detener el servicio #Eliminar las reglas definidas $IPTABLES -t filter -F INPUT $IPTABLES -t filter -F OUTPUT $IPTABLES -t filter -F FORWARD $IPTABLES -t nat -F PREROUTING $IPTABLES -t nat -F POSTROUTING esac restart) $RMMOD nf_nat_ftp $RMMOD nf_conntrack_ftp $0 stop $0 start

5 U3 ip addr add /16 dev eth0 ip route add default via U4 ip addr add /16 dev eth0 ip route add default via #Iniciar el servidor multimedia en segundo plano /home/bruno/multimedia_server.sh & Fichero multimedia_server.sh while [ 0 = 0 ] do #Escuchar en el puerto 14220, a la espera de la entrega de ficheros multimedia a partir de una tubería de datos con socat (se guarda un log en el directorio home del usuario) socat tcp4-listen:14220 stdio madplay - >> $HOME/multimedia.log done U5 echo 1 > /proc/sys/net/ipv4/ip_forward ip addr add /24 dev eth0 ip addr add /16 label eth0:0 dev eth0 ip route add default via #ruta necesaria para la creación de túneles con ip route add via /etc/init.d/firewall restart Fichero de iptables IPTABLES="/sbin/iptables" MODPROBE="/sbin/modprobe" RMMOD="/sbin/rmmod" case $1 in

6 start) #Denegar todos los paquetes de entrada o salida $IPTABLES -t filter -P INPUT DROP $IPTABLES -t filter -P OUTPUT DROP #Aceptar peticiones icmp $IPTABLES -t filter -A INPUT -p icmp -j ACCEPT $IPTABLES -t filter -A OUTPUT -p icmp -j ACCEPT #Permitir acceder a sitios web (puerto 80 y 443) $IPTABLES -t filter -A OUTPUT -p tcp --dport 80 -j ACCEPT $IPTABLES -t filter -A OUTPUT -p tcp --dport 443 -j ACCEPT #Y a peticiones dns $IPTABLES -t filter -A OUTPUT -p tcp --dport 53 -j ACCEPT $IPTABLES -t filter -A OUTPUT -p udp --dport 53 -j ACCEPT #Y peticiones FTP $IPTABLES -t filter -A OUTPUT -p tcp --dport 21 -j ACCEPT #Y peticiones del servidor multimedia $IPTABLES -t filter -A OUTPUT -p tcp --dport j ACCEPT #Y conexiones por SSH provenientes de la red /24 $IPTABLES -t filter -A INPUT -p tcp -s /24 --dport 22 -j ACCEPT #Aceptar puerto FTP $IPTABLES -t filter -A INPUT -p tcp --dport 21 -j ACCEPT #Redirigilo a la máquina que lo gestiona $IPTABLES -t nat -A PREROUTING -p tcp --dport 21 -j DNAT --to :21 #ip masking -> dar internet a toda la red $IPTABLES -t nat -A POSTROUTING -s /16 -j MASQUERADE #Respuesta para conexiones necesarias para comunicaciones o ya establecidas $IPTABLES -t filter -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT $IPTABLES -t filter -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT #FTP Connection tracking necesita el módulo correspondiente $MODPROBE nf_conntrack_ftp $MODPROBE nf_nat_ftp stop) #Política no restrictiva al detener el servicio #Eliminar las reglas definidas $IPTABLES -t filter -F INPUT $IPTABLES -t filter -F OUTPUT $IPTABLES -t filter -F FORWARD $IPTABLES -t nat -F PREROUTING $IPTABLES -t nat -F POSTROUTING #Desactivar el módulo connection tracking de ftp $RMMOD nf_nat_ftp $RMMOD nf_conntrack_ftp

7 esac restart) $0 stop $0 start U6 ip addr add /16 dev eth0 ip route add default via U7 ip addr add /16 dev eth0 ip route add default via #Crear el túnel con (ssh y socat) #NOTA: necesita configuración previa con ssh-keygen (creación de claves asimétricas para autenticación) socat tun: /8 exec:"ssh -i /root/.ssh/id_rsa root@ 'socat tun: /8 stdio'" & ip link set tun0 up ssh -i /root/.ssh/id_rsa root@ "ip link set tun0 up" U8 ip addr add /24 dev eth0 ip route add default via