ENDEREÇAMENTO PRIVADO PROXY E NAT

Transcrição

1 ENDEREÇAMENTO PRIVADO PROXY E NAT

2 MOTIVAÇÃO PARA O ENDEREÇAMENTO IP PRIVADO Crescimento do IPv4 07/ milhões de hosts 01/ milhões de hosts IPv4 permite endereçar 4 bilhões de hosts. PREVISÃO INICIAL = 1994

3 AUTORIDADES DE REGISTRO DE ENDEREÇO IANA ARIN RIPE NCC AfriNIC LACNIC APNIC América do Norte Europa, Oriente e Asia Central Africa América Latina e Caribe Ásia e Pacífico

4 ENDEREÇOS PRIVADOS: RFC 1918 Prefixo Faixa de Endereços Descrição / a / a / a Uma rede de endereços classe A. 16 redes contíguas de endereços classe B. 256 redes contíguas de endereços classe C.

5 TIPOS DE HOSTS (RFC 1918) categoria I categoria III IPv4 categoria II tradutor de IP NAT IPv4

6 ROTEADOR INTERNO E GATEWAY DEFAULT ip publico ip publico ip publico gateway default (não roteia IP privado) ip publico ip privado ip privado 2 IPv4 1 ip privado (roteador interno) roteia IP privado

7 ENDEREÇOS E ROTEAMENTO IPv /24 via direta /24 via direta /0 via provedor /24 via direta

8 HOSTS CATEGORIA roteador com NAT se ip_origem = /24 traduzir para IPv /24 via direta /24 via direta /0 via provedor /24 via direta

9 NAT E NAPT IP privado1 IP privado2 NAT IP público 1 IP público2 IP privado3 IP público3 IP privado1 NAPT IP público1 :Porta 1 IP privado2 IP público1 :Porta 2 IP privado3 IP público1 :Porta 3

10 SNAT E DNAT Interface de Entrada Interface de Saída Pré-Roteamento [DNAT] roteamento Pós-Roteamento [SNAT] decisão sobre o encaminhamento do pacote

11 SNAT: NETWORK ADDRESS TRANSLATION checksum checksum checksum checksum tabela de mapeamento = = IPv4 Privado to IPv4 Network

12 SNAT NO LINUX Altera qualquer endereço de origem para iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to Altera o endereço de origem usando IPs do range até iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to até Aplica a ação de MASQUERADE iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

13 SNAPT (NETWORK ADDRESS AND PORT TRANSLATION) request IP Privado:Porta Origem IP Público:Porta Origem reply clientes : : : : : : : : IPv Endereço IP Público servidor

14 SNAPT NO LINUX O Linux implementa SNAPT sempre que necessário de forma automática, mas mantém a troca das portas no interior de classes: Portas abaixo de 512 Portas entre 512 and 1023 Portas acima de 1024 Altera o endereço de origem para , usando as portas iptables -t nat -A POSTROUTING -p tcp -o eth0 -j SNAT --to

15 MAPEAMENTOS REVERSOS: DNAT servidores reply IP Privado:Porta Destino IP Público:Porta Destino request : : : : : : : : IPv Endereço IP Público espec.ppgia.pucpr.br cliente

16 DNAT NO LINUX Redireciona pacotes recebidos na porta 8080 para o IP e porta 80. iptables -t nat -A PREROUTING -p tcp --dport i eth0 -j DNAT --to :80 Envia pacotes web (port-80) para a porta do squid (proxy transparente) iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128 Altera os endereços de destino para até , através de um processo de balanceamento de carga. iptables -t nat -A PREROUTING -i eth0 -j DNAT --to

17 PROBLEMAS COM O NAT PORT : PORT : payload tabela de mapeamento = IPv4 Privado IPv4 Network

18 SERVIDOR PROXY IPv4 Privado NAT IPv4 Network IPv4 Privado Proxy IPv4 Network

19 FUNCIONAMENTO DO PROXY GET /~jamhour/natproxy.tar.gz HTTP/1.1\r\n Host: espec.ppgia.pucpr.br\r\n IPv4 Privado Proxy IPv4 Network GET /~jamhour/natproxy.tar.gz HTTP/1.1\r\n Host: espec.ppgia.pucpr.br\r\n

20 PROXY DEPENDE DA APLICAÇÃO Seqüência de empacotamento Protocolo de Aplicação HTTP, FTP, SMTP, etc TCP, UDP IP Ethernet quadro segmento TCP datagrama UDP pacote aplicação http ftp ssl O proxy de aplicação precisa interpretar as informações do protocolo de aplicação (dispositivo de camada 7)

21 MAPEAMENTO DE CONEXÕES PELO PROXY request IP Privado:Porta Origem IP Público:Porta Origem reply clientes : : : : : : : : IPv servidor

22 OUTRAS FUNÇÕES DO PROXY DE APLICAÇÃO Controle de acesso por login Filtragem de endereços e conteúdo. Cache de objetos Web Filtragem de Virus e Malware Proxy de Aplicação GET Cache HTTP/ OK\r\n GET GET HTTP/ OK\r\n HTTP/ Not Modified\r\n

23 PROXY SOCKS user jamhour want connect to :80 request granted user jamhour want bind to :80 bind on :4000 Proxy Socks cliente IPv4 servidor

24 PROXY SOCKS biblioteca sockets modificada TCP aplicação IP UDP S.O. configuração global para todos os aplicativos proxy SOCKS servidor IPv4 cliente protocolo SOCKS TCP ou UDP não modificado

25 CONCLUSÃO