Añadir a la recogida (s) Añadir a salvo
  1. Ninguna Categoria

Examen de Prácticas de Redes (Todas las titulaciones) 18 de

Anuncio 
Examen de Prácticas de Redes (Todas las titulaciones)
18 de septiembre de 2006
ALUMNO:
NAT
En relación con la red mostrada en la figura anterior, se conocen además los siguientes datos.
Todas las subredes son privadas. La subred A es la 192.168.10.8/29, la subred B es la
192.168.2.0/24, la subred C es la 192.168.1.0/29 y la subred D es la 192.168.1.0/29. El router A
obtiene su configuración por DHCP de un servidor que le indica que su dirección será la
84.84.65.2 y su router por defecto el 84.84.65.1. Observa que tanto el router A como el router D
están realizando SNAT. A continuación se pide realizar las siguientes tareas de configuración.
A. ASIGNACIÓN DE DIRECCIONES Y CONFIGURACIÓN DE INTERFACES (1P: 0,75+0,25)
1
Haciendo uso de la herramienta ifconfig, configura todas las interfaces que aparecen
en la figura que pertenecen a la subred A, B, C. Procura seguir las convenciones vistas
en clase a la hora de asignar las direcciones a las interfaces.
RA> ifconfig lan 192.168.10.9 netmask 255.255.255.248
RB> ifconfig wan 192.168.10.10 netmask 255.255.255.248
PCA> ifconfig eth0 192.168.10.11 netmask 255.255.255.248
SA> ifconfig eth0 192.168.10.12 netmask 255.255.255.248
RB> ifconfig lan 192.168.2.1 netmask 255.255.255.0
RC> ifconfig wan 192.168.2.2 netmask 255.255.255.0
RD> ifconfig wan 192.168.2.3 netmask 255.255.255.0
PCB> ifconfig eth0 192.168.2.4 netmask 255.255.255.0
SB> ifconfig eth0 192.168.2.5 netmask 255.255.255.0
RC> ifconfig lan 192.168.1.1 netmask 255.255.255.248
PCC> ifconfig eth0 192.168.1.2 netmask 255.255.255.248
SC> ifconfig eth0 192.168.1.3 netmask 255.255.255.248
2
Especifica la configuración del servidor DHCP del router D. Indica para ello la dirección
inicial del rango, número de direcciones a asignar y restringe el tiempo máximo de
utilización a 1 hora.
Inicial: 192.168.1.2
Direcciones: 5
Tiempo: 60 minutos
B. TABLAS DE RUTAS (2P: 1,5+0,5)
3
Mediante la orden route, configura las tablas de enrutamiento de los cuatro routers.
Recuerda que debes especificar el destino, el gateway y la máscara. ¿Qué ocurriría si
el router D no hiciese SNAT?
RA>route add –net 192.168.2.0 netmask 255.255.255.0 gw 192.168.10.10
RA>route add –net 192.168.1.0 netmask 255.255.248.0 gw 192.168.10.10
RB>route add –net 192.168.1.0 netmask 255.255.248.0 gw 192.168.2.2
RA>route add default gw 84.84.65.1
RB>route add default gw 192.168.10.9
RC>route add default gw 192.168.2.1
RD>route add default gw 192.168.2.1
Que la red D tendría que tener una dirección distinta, con un rango
que no se solapara con ninguno de los existentes.
4
También mediante la orden route, introduce el router por defecto de los PCs A y C
para terminar así con su configuración TCP/IP.
PCA> route add default gw 192.168.10.9
PCC> route add default gw 192.168.1.1
C. NAT (3,75P)
Para este apartado, deberás siempre expresar las reglas siguiendo la notación de la
herramienta iptables. Recuerda indicar en qué equipo introduces la regla NAT.
5
Configura los routers que hacen SNAT.
RA> iptables –t nat –A POSTROUTING –o wan –j MASQUERADE
RD> iptables –t nat –A POSTROUTING –o wan –j MASQUERADE
6
Imagina, sólo para este ejercicio, que en lugar de hacer SNAT el router A lo hiciera el
B. ¿Tendrían acceso a internet las máquinas de las subredes B, C y D?.
No, puesto que saldrían paquetes a internet con una dirección de
origen 192.168.10.10 que no está dada de alta en internet (dirección
privada)
7
Queremos que el servidor SSH que se ejecuta en el equipo servidor C pueda ser
utilizado tanto desde internet como desde todos nuestros equipos. Indica las reglas a
utilizar. Recuerda especificar dónde aplicas cada regla. Indica también la línea a teclear
para conectar con el citado servidor desde cualquier equipo de nuestra red.
RA> iptables –t nat –A PREROUTING –i WAN –p TCP –-dport 22 –j DNAT –to 192.168.1.3:22
Desde Internet y los equipos de la red D> ssh 84.84.65.2
Desde los demás> ssh 192.168.1.3
8
Queremos que nuestra red ofrezca servicio de correo. Para ello utilizaremos el servidor
D, en donde se ejecuta el proceso servidor POP 3 (puerto 110), y el servidor A, en
donde se ejecuta el proceso servidor SMTP (puerto 25). Especifica las reglas de
iptables necesarias para ofrecerlo. Recuerda especificar dónde aplicas cada regla.
Indica también las direcciones IP que habría que introducir en los campos servidor
POP3 y servidor SMTP de nuestro cliente de correo de casa (conexión típica con
router haciendo SNAT) para utilizar desde allí los servicios de correo.
Servidor POP3
RA> iptables –t nat –A PREROUTING –i WAN –p TCP –-dport 110 –j DNAT
–-to 192.168.2.3:110
RD> iptables –t nat –A PREROUTING –i WAN –p TCP –-dport 110 –j DNAT
–-to 192.168.1.2:110
(asumimos que el servidor DHCP del router D le ha asignado al
servidor D esa dirección IP en lugar de la dirección 192.168.1.3)
Servidor SMTP
RA> iptables –t nat –A PREROUTING –i WAN –p TCP –-dport 25 –j DNAT –to 192.168.10.12:25
En casa
Servidor POP3: 84.84.65.2
Servidor SMTP: 84.84.65.2
9
Configura los routers de la red mediante iptables para que se pueda acceder a los
procesos servidores FTP de los equipos servidor A, servidor B y servidor C desde
todos los equipos de la red. Indica la orden que utilizarías para conectar desde el PC A.
¿Sería posible configurar la red de forma que fuera posible acceder al servidor FTP A y
al servidor FTP B desde Internet? (OJO: no se puede conectar al servidor FTP de la
red C desde los equipos de la red D)
Ya están
PCA> ftp
PCA> ftp
PCA> ftp
configurados
192.168.10.12 (SA)
192.168.2.5 (SB)
192.168.1.3 (SC)
Es posible usando distintos puertos, por ejemplo:
RA>iptables –t nat –A PREROUTING –i WAN –p TCP –-dport 2100 – j DNAT
–-to 192.168.10.12:21
RA>iptables –t nat –A PREROUTING –i WAN –p TCP –-dport 2101 – j DNAT
–-to 192.168.2.5:21
10 Configura la red mediante iptables para que el servidor B realice el papel de proxy
Web de las subredes B, C y D, y el servidor A de proxy Web del PCA. Dichos proxys
intervienen de forma transparente en las comunicaciones Web originadas en los
equipos de las redes privadas indicadas.
RC> iptables –t nat –A PREROUTING –i LAN –p TCP –-dport 80 – j DNAT
–-to 192.168.2.5:80
RD> iptables –t nat –A PREROUTING –i LAN –p TCP –-dport 80 – j DNAT
–-to 192.168.2.5:80
PCB> iptables –t nat –A OUTPUT –o eth0 –p TCP –-dport 80 – j DNAT –to 192.168.2.5:80
PCA> iptables –t nat –A OUTPUT –o eth0 –p TCP –-dport 80 – j DNAT –to 192.168.10.12:80
D. FILTRADO DE PAQUETES (3,25P: 1,75+0,75+0,75)
Para este apartado, deberás siempre expresar las reglas de filtrado siguiendo la notación de la
herramienta iptables. La política por defecto para todos los routers y para todas las cadenas
será siempre REJECT, excepto para el router A que será ACCEPT. Para el caso de los PCs y
de los servidores, la política por defecto de todas las cadenas será ACCEPT. Además, cuando
resuelvas los siguientes apartados recuerda dejar claro en qué equipo(s) de la red estás
introduciendo la regla de filtrado.
11 Introduce las reglas de filtrado necesarias para que los apartados del ejercicio C
funcionen (es decir, para que el tráfico que se traduce no sea filtrado).
Apartado 7
RB> iptables –A FORWARD –d 192.168.1.3 –p TCP -–dport ssh –j ACCEPT
RC> iptables –A FORWARD –d 192.168.1.3 –p TCP -–dport ssh –j ACCEPT
RD> iptables –A FORWARD –o wan –d 192.168.1.3 –p TCP -–dport ssh –j
ACCEPT
Apartado 8
RB> iptables –A FORWARD –d 192.168.2.3 –p TCP -–dport 110 –j ACCEPT
RD> iptables –A FORWARD –o lan –d 192.168.1.3 –p TCP -–dport 110 –j
ACCEPT
Apartado 9
RB> iptables –A FORWARD
ACCEPT
RB> iptables –A FORWARD –d
RC> iptables –A FORWARD
ACCEPT
RC> iptables –A FORWARD –d
RC> iptables –A FORWARD –d
RD> iptables –A FORWARD
ACCEPT
RD> iptables –A FORWARD –d
–d 192.168.10.8/29 –p TCP -–dport 21 –j
192.168.2.0/24 –p TCP -–dport 21 –j ACCEPT
–d 192.168.10.8/29 –p TCP -–dport 21 –j
192.168.2.0/24 –p TCP –-dport 21 –j ACCEPT
192.168.1.0/29 –p TCP –-dport 21 –j ACCEPT
–d 192.168.10.8/29 –p TCP –-dport 21 –j
192.168.2.0/24 –p TCP –-dport 21 –j ACCEPT
Apartado 10
RB> iptables –A FORWARD –s 192.168.2.5 –p TCP -–dport 80 –j ACCEPT
RC> iptables –A FORWARD –p TCP –dport 80 –j ACCEPT
RD> iptables –A FORWARD –p TCP -–dport 80 –j ACCEPT
12 Indica la forma de prohibir el acceso al sitio web del periódico marca (IP:
212.80.128.10) a los equipos SA y PCA
SA> iptables –A OUTPUT –d
212.80.128.10 –p TCP -–dport www –j DROP
13 Indica la forma de prohibir el acceso al servidor web de SA desde SA.
SA> iptables –A OUTPUT –d
SA> iptables –A OUTPUT –d
192.168.10.12 –p TCP -–dport www –j DROP
127.0.0.1 –p TCP -–dport www –j DROP
Documentos relacionados
1. Limpiamos la configuración previa de IPTABLES a) # iptables –A
1. Limpiamos la configuración previa de IPTABLES a) # iptables –A
Configuración NAT con distribución Linux (Debian, Ubuntu, Fedora
Configuración NAT con distribución Linux (Debian, Ubuntu, Fedora
Configurar un firewall con iptables sin romperse la cabeza
Configurar un firewall con iptables sin romperse la cabeza
Práctica NAT Debian
Práctica NAT Debian
Creación de una red virtual en modo NAT
Creación de una red virtual en modo NAT
Descargar
Anuncio
Anuncio