Integração de Redes e Serviços Semestre de Inverno 2011/2012

Transcrição

1 Licenciatura em Engenharia Informática e de Computadores Integração de Redes e Serviços Semestre de Inverno 2011/2012 Relatório Grupo XX: João André César de Matos Dias Lisboa, 26 de Fevereiro de 2012

2

3 Índice 1 Introdução Instalação Gentoo Configuração do teclado Configuração da rede Configuração do Disco Download dos ficheiros de instalação Gentoo Configuração das variáveis de compilação Instalação do Sistema Configuração do Portage Configuração do Kernel Configuração do Sistema Instalação e configuração dos serviços Servidor DHCP Servidor DNS Encaminhamento Servidor Radius Firewall Conclusões

4 1 Introdução O trabalho proposto consiste na implementação de um servidor Linux (distribuição Gentoo) para implementação de vários serviços de suporte a uma rede de computadores, nomeadamente: - DHCP - DNS - Encaminhamento - Firewall - RADIUS Para a implementação usámos uma maquina virtual onde instalámos o sistema operativo Gentoo como sistema base. Nele instalámos o pacote dhcpd como servidor de DHCP, o BIND como servidor DNS, o Quagga para suporte ao OSPF, Netfilter para fiewall e o Freeradius como servidor RADIUS. 2

5 2 Instalação Gentoo 2.1 Configuração do teclado Depois do arranque da máquina virtual através do CD de instalação do Gentoo. O primeiro passo é configurar o teclado para português através do comando loadkeys pt-latin1 para que o layout do teclado fique o correcto. 2.2 Configuração da rede O nosso sistema contém duas placas de rede: eth0 interface ligada à rede externa /rede do ISEL e eth1 Interface ligada à rede interna. A interface eth0 deve ser configurada para IP dinâmico/dhcp de modo a receber um endereço do servidor DHCP do ISEL, a interface eth1 fica com o endereço da gama /28. dhcpcd eth0 ifconfig eth /28 Coloca a interface eth0 com IP dinâmico Coloca a interface eth1 com o endereço e máscara Confirmação da configuração: Comando usado: ifconfig Output: eth0 Link encap:ethernet HWaddr 08:00:27:57:3a:08 inet addr: Bcast: Mask: inet6 addr: fe80::a00:27ff:fe57:3a08/64 Scope:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:4880 errors:0 dropped:0 overruns:0 frame:0 TX packets:342 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes: (300.4 KiB) TX bytes:34142 (33.3 KiB) eth1 lo Link encap:ethernet HWaddr 08:00:27:ec:cf:a2 inet addr: Bcast: Mask: inet6 addr: fe80::a00:27ff:feec:cfa2/64 Scope:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:56 errors:0 dropped:0 overruns:0 frame:0 TX packets:12 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:18774 (18.3 KiB) TX bytes:660 (660.0 B) Link encap:local Loopback inet addr: Mask: inet6 addr: ::1/128 Scope:Host UP LOOPBACK RUNNING MTU:16436 Metric:1 RX packets:66 errors:0 dropped:0 overruns:0 frame:0 TX packets:66 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:2376 (2.3 KiB) TX bytes:2376 (2.3 KiB) 2.3 Configuração do Disco Para o nosso sistema criamos um disco virtual de 8GB configurado conforme seguinte tabela: Partição Tipo Tamanho (MB) Descrição /dev/sda1 ext2 32 Partição de arranque /dev/sda2 SWAP 256 Partição de SWAP /dev/sda3 ext4 Restante espaço Partição de root fdisk /dev/sda Comandos internos: Aplicação de gestão de partições. Parâmetro: /dev/sda o nosso dico n Criar nova partição m Ajuda sobre comandos t Alterar o tipo de partição (usado para criar a partição SWAP) w gravar configurações 3

6 Confirmação da configuração: Comando usado: fdisk /dev/sda (seguido do comando interno p) Disk /dev/sda: 8589 MB, bytes 255 heads, 63 sectors/track, 1044 cylinders, total sectors Units = sectors of 1 * 512 = 512 bytes Sector size (logical/physical): 512 bytes / 512 bytes I/O size (minimum/optimal): 512 bytes / 512 bytes Disk identifier: 0x8e50125b Device Boot Start End Blocks Id System /dev/sda Linux /dev/sda Linux swap / Solaris /dev/sda Linux Depois do disco particionado, vamos criar o sistema de ficheiros (filesystem) de cada uma das partições conforme explicitado na coluna tipo. mkfs.extx /dev/sday mkswap /dev/sda2 swapon /dev/sda2 Criação do sistema de ficheiros extx na partição sday Inicialização da partição de SWAP Activação da partição de SWAP É chegado o momento de montar as partições que vão ser o nosso futuro sistema de funcionamento. Mount /dev/sda3 /mnt/gentoo Mkdir /mnt/gentoo/boot Mount /dev/sda1 /mnt/gentoo/boot Montar a partição /dev/sda3 em /mnt/gentoo Criar a directoria boot Montar a partição /dev/sda1 em /mnt/gentoo/boot 2.4 Download dos ficheiros de instalação Gentoo A instalação destes ficheiros é feita com recurso ao download de dois ficheiros. O ficheiro portage (ferramenta de gestão de aplicações) e o ficheiro stage3 (ambiente mínimo da distribuição). Nota: Antes de fazermos o download destes ficheiros devemos colocar-nos na raiz da instalação. (links Navegador web em modo texto usado para fazer os downloads) cd /mnt/gentoo/ Ir para a raiz da instalação links links tar xvjpf stage3-*.tar.bz2 Descomprimir os ficheiros tar xvjf /mnt/gentoo/portage-latest.tar.bz2 -C /mnt/gentoo/usr 2.5 Configuração das variáveis de compilação Para a optimização da nossa instalação usamos o ficheiro make.conf tal como este: # These settings were set by the catalyst build script that automatically # built this stage. # Please consult /usr/share/portage/config/make.conf.example for a more # detailed example. CFLAGS="-O2 -march=pentium4 -mtune=core2 -pipe" CXXFLAGS="${CFLAGS}" # WARNING: Changing your CHOST is not something that should be done lightly. # Please consult before changing. CHOST="i686-pc-linux-gnu" # MAKEOPTS="-j2" USE="mmx sse sse2 -acl" GENTOO_MIRRORS=" SYNC="rsync://mirrors.ipv4.net.ipl.pt/gentoo-portage" 4

7 Notas acerca das configurações usadas no make.conf: -O2 (Nivel de optimização do código gerado) -march=pentium4 (arquitectura para qual o código é gerado, para nós será um Pentium4) -mtune=core2 (código optimizado para dada arquitectura, par nós será um core2) nano w /mnt/gentoo/etc/make.conf Editar o ficheiro make.conf 2.6 Instalação do Sistema Antes de mais devemos copiar as informações de DNS para a nossa instalação. Cp L /etc/resolv.conf /mnt/gentoo/etc Copia do ficheiro resolv.conf (-L para não copiar um symbolic link Montar as partições /proc e /dev mount t proc none /mnt/gentoo/proc mount rbind /dev /mnt/gentoo/dev Monta a partição /mnt/gentoo/proc Monta a partição /mnt/gentoo/proc Vamos alterar a root do sistema e entrar no novo ambiente. chroot /mnt/gentoo /bin/bash env-update source /etc/profile export PS1="(chroot) $PS1" Alterar a root do sistema actualizar as variáveis do sistema Alterar a prompt 2.7 Configuração do Portage Este passo requer a actualização da árvore portage e a configuração das línguas Para a instalação das linguas devemos editar o ficheiro /etc/locale.gen como este: en_gb ISO en_gb.utf-8 UTF-8 pt_pt ISO pt_pt@euro ISO pt_pt.utf-8 UTF-8 pt_pt.utf-8@euro UTF-8 emerge --sync nano -w /etc/locale.gen locale-gen actualização da arvore portage editar o ficheiro /etc/locale.gen gerar as linguas 2.8 Configuração do Kernel Escolhendo a versão do kernel que pretendemos e tendo um ficheiro com as configurações que pretendemos para o nosso kernel, vamos compila-lo e instala-o. emerge gentoo-sources ls -l /usr/src/linux make && make modules_install cp arch/i386/boot/bzimage /boot/kernel gentoo-r3 Instalar as scources gentoo Verificar o link para o kernel Compilar o kernel Instalar o kernel 2.9 Configuração do Sistema A configuração do sistema requer a configuração de diversos items: O filesystem, a rede, instalação de algumas aplicações e serviços incluídos no arranque do sistema. 5

8 O ficheiro /etc/fstab, ficheiro que contém as partições e os mountpoints deve ser como o seguinte: /dev/sda1 /boot ext2 defaults,noatime 1 2 /dev/sda2 none swap sw 0 0 /dev/sda3 / ext4 noatime 0 1 /dev/cdrom /mnt/cdrom auto noauto,user 0 0 O nosso sistema tem duas interfaces de rede, uma ligada à rede do ISEL, o qual nos fornece a configuração automaticamente (DHCP) e outra ligada à rede interna com o endereço Para isto editamos o ficheiro de configuração de rede (/etc/conf.d/net) conforme este: config_eth0="dhcp" config_eth1=" /28" Vamos proceder à instalação de algumas aplicações e coloca-las no arranque do sistema: syslog-ng System logger vixie-cron agendador de tarefas dhcpcd Cliente DHCP grub bootloader o grup requer um ficheiro de configuração como este: title Gentoo Linux r3 kernel /boot/kernel gentoo-r3 root=/dev/sda3 nano w /etc/fstab Editar o ficheiro /etc/fstab nano w /etc/conf.d/net Editar o ficheiro /etc/conf.d/net ln -s net.lo net.eth0 ln -s net.lo net.eth1 Colocar as interfaces no arranque do sistema rc-update add net.eth0 default rc-update add net.eth1 default nano -w /etc/conf.d/keymaps Configuração do teclado portugues emerge <aplicação> Instalação da aplicação rc-update add <aplicação> default Colocar serviço no arranque do sistema grep -v rootfs /proc/mounts > /etc/mtab Criar o ficheiro /etc/mtab com todas as partições do sistema grub-install --no-floppy /dev/sda Instalação do bootloader 3 Instalação e configuração dos serviços 3.1 Servidor DHCP A instalação do servidor DHCP é bastante simples. Executamos o comando emerge av dhcp para a sua instalação. Depois de configurado devemos executar o comando rc-update add dhcp default para que o serviço seja colocado no arranque do sistema. O servidor dhcp vai ser o servidor autoritário na rede interna (ligada à interface eth1), o seu ficheiro de configuração é: option domain-name "G0.LRCD.E.IPL.PT"; option domain-name-servers ; option routers ; ddns-update-style interim; ddns-rev-domainname "in-addr.arpa"; authoritative; default-lease-time 600; max-lease-time 7200; subnet netmask { range ; } 6

9 3.2 Servidor DNS A instalação do servidor DHCP requer a aplicação BIND. Executamos o comando emerge av bind para a sua instalação. Depois de configurado devemos executar o comando rc-update add named default. O servidor DNS deve responder a todos os pedidos da rede interna e apenas a pedidos do nosso domínio para clientes externos. O ficheiro de configuração /etc/named.conf: options { directory "/var/bind"; listen-on-v6 { none; }; listen-on port 53 { ; ; }; pid-file "/var/run/named/named.pid"; }; zone "G0.LRCD.E.IPL.PT" { type master; file "pri/g0.lrcd.e.ipl.pt"; allow-transfer { any; }; }; zone "." IN { type hint; file "named.cache"; }; zone "127.in-addr.arpa" IN { type master; file "pri/127.zone"; allow-update { none; }; notify no; }; logging { channel default_syslog { file "/var/log/named/named.log" versions 3 size 5m; severity debug; print-time yes; print-severity yes; print-category yes; }; category default { default_syslog; }; }; O ficheiro da nossa zona interna /var/bind/ pri/g0.lrcd.e.ipl.pt é configurado do seguinte modo: $TTL IN SOA ns.g0.lrcd.e.ipl.pt. ADMIN.G0.LRCD.E.IPL.PT. ( ; serial 3h ; refresh 1h ; retry 1w ; expiry 1d ) ; IN MX 0 IN TXT "v=spf1 ip4: /24 mx ptr mx:mail.g0.lrcd.e.ipl.pt IN NS ns.g0.lrcd.e.ipl.pt. IN A ns.g0.lrcd.e.ipl.pt. IN A anaconda.g0.lrcd.e.ipl.pt. IN A search.g0.lrcd.e.ipl.pt. IN A

10 3.3 Encaminhamento A aplicação quagga vai servir para dar suporte ao protocolo de encaminhamento OSPF. A sua instalação é feita atrvés do comando emerge av quagga. Depois de configurado devemos executar o comando rc-update add quagga default. Esta aplicação é configurada por dois ficheiros (/etc/quagga/zebra.conf e /etc/quagga/ospfd.conf): Zebra.conf ospfd.conf hostname Router password irs enable password irs log stdout interface eth0 ipv6 nd suppress-ra interface eth1 ipv6 nd suppress-ra interface lo ip forwarding line vty interface eth0 ip ospf message-digest-key 20 md5 mesmosimples interface eth1 interface lo router ospf ospf router-id log-adjacency-changes auto-cost reference-bandwidth 1000 network /24 area network /28 area area 75 authentication message-digest line vty 3.4 Servidor Radius Para o servidor RADIUS instalamos a aplicação Freeradius. A sua instalação é tal como as anteriores através do comando emerge av freeradius. Também como as anteriores, deve ser colocada no arranque do sistema com o comando rc-update add radiusd default. O servidor radius faz uso de três ficheiros de configuração. O /etc/raddb/radiusd.conf que tem a configuração geral do servidor, o /etc/clientes.conf que tem a configuração dos clientes (usam este servidor com oserviço de autenticação) e o /etc/users que contem os utilizadores que se autenticam. users admc Cleartext-Password := "c" Auth-Type == Local, Service-Type == Login, NAS-Port-Type == Async admt Cleartext-Password := "t" Auth-Type == Local, Service-Type == Login, NAS-Port-Type == Virtual, cisco-avpair = "shell:priv-lvl=15" DEFAULT Auth-Type := Reject, Reply-Message := "Utilizador Inexistente" clients.conf client localhost { ipaddr = netmask = 28 secret = testing123 require_message_authenticator = no nastype = other } client { secret = testing123 shorname = router nastype = cisco } 8

11 Para testar esta configuração, usámos um router cisco 1700 ligado à rede interna com a seguinte configuração: 3.5 Firewall version 12.4 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption hostname Router boot-start-marker boot-end-marker aaa new-model aaa authentication login default group radius local aaa authorization exec default group radius local if-authenticated aaa accounting delay-start aaa accounting exec default start-stop group radius aaa accounting system default start-stop group radius aaa session-id common memory-size iomem 15 mmi polling-interval 60 no mmi auto-configure no mmi pvc mmi snmp-timeout 180 ip cef username admin privilege 15 secret 5 $1$wCLC$p2ySEaMN5Br3eG8DUegxz1 interface Ethernet0 no ip address shutdown half-duplex interface FastEthernet0 ip address speed auto ip forward-protocol nd no ip http server radius-server host auth-port 1812 acct-port 1813 key testing123 control-plane line con 0 line aux 0 line vty 0 4 end O Linux tem a firewall incluída no seu kernel. A instalação do pacote iptables serve apenas para que seja possível a configuração das regras. O do comando para instalação é emerge av iptables. O cenário proposto e a sua implementação: Inicialmente devemos apagar qualquer regra existente e activar o modo statefull: iptables -F iptables -t nat -F /sbin/modprobe ipcontrack São aceites do exterior (eth0) 1 - Trafego pertencente a comunicações originadas no router ou que atravessam o router vindas da rede interna (eth1) (validação baseada em estado conntrack) iptables -A FORWARD -d /24 -m state --state RELATED, ESTABLISHED -j ACCEPT iptables -A INPUT -m state --state RELATED, ESTABLISHED -j ACCEPT 2 - Ligações SSH para a rede interna e router iptables -A FORWARD -d /24 -p tcp --dport 22 -j ACCEPT 9

12 3 - Pedidos PING (ICMP Echo) para a rede interna e router iptables -A INPUT -p icmp --icmp-type 8 -j ACCEPT iptables -A OUTPUT -p icmp --icmp-type 0 -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -d /24 -p icmp --icmp-type 8 -j ACCEPT iptables -A FORWARD -s /24 -p icmp --icmp-type 0 -j ACCEPT 4 - Os acessos SSH exteriores para o router têm de se fazer para o port (mantendo o SSH a escutar no port 22 somente) iptables -t nat -A PREROUTING -d p TCP --dport j REDIRECT --to-port Todo o restante tráfego exterior é negado iptables -P INPUT -i eth0 DROP É aceite a saida de trafego para o exterior (eth0) 6 - Negadas as comunicações para servidores SMTP iptables -A FORWARD -d /24 -p tcp --dport 25 -j REJECT 7 - Comunicações originadas no router ou na rede interna (eth1) iptables -A FORWARD -s /24 -j ACCEPT 8 - Os pedidos DNS provenientes da rede interna e destinados aos endereços e devem após "forwarding" ir sempre destinados ao iptables -t nat -A POSTROUTING -d p TCP --dport 53 -j REDIRECT --to iptables -t nat -A POSTROUTING -d p TCP --dport 53 -j REDIRECT --to Os pedidos HTTP da rede interna destinados ao IP devem ser alterados para o IP destino iptables -t nat -A POSTROUTING -d p TCP --dport 80 -j REDIRECT --to Conclusões O presente trabalho prático foi fundamental para a aquisição de conhecimentos sobre o sistema Linux e as suas vastas potencialidades. Obrigado. 10