PRÁTICA DE NAT/PROXY - LINUX 1. TOPOLOGIA DE REDE PARA TODOS OS CENÁRIOS DIFERENÇAS NO ROTEIRO EM RELAÇÃO A IMAGEM DO DVD

Transcrição

1 PRÁTICA DE NAT/PROXY - LINUX Esses exercícios devem ser executados através do servidor de máquinas virtuais: espec.ppgia.pucpr.br ou através da imagem fornecida no DVD. OBS. Esse roteiro utiliza o proxy SQUID. Contudo, os detalhes da configuração do SQUID envolvem muitos aspectos de segurança, e não serão estudados nesse roteiro. O objetivo aqui é apenas explorar aos aspectos de endereçamento privado do proxy. Após digitar esses comandos feche o terminal. Utilize um novo terminal para lançar as máquinas virtuais, senão você irá receber mensagens de erro temporárias "send_sock sending to fd 4 Resource temporarily unavailable" que geralmente ficam escondidas. No ambiente DVD não é necessário instalar nenhum pacote, pois todos já estão instalados. 1. TOPOLOGIA DE REDE PARA TODOS OS CENÁRIOS Na disciplina de segurança em redes IP, a configuração do SQUID e do iptables será vista em detalhes. DIFERENÇAS NO ROTEIRO EM RELAÇÃO A IMAGEM DO DVD Este roteiro foi desenvolvido para ser executado primariamente no servidor espec. Contudo, os alunos que utilizam a imagem do DVD também podem fazê-lo, mas com algumas diferenças. Contudo, é necessário observar as seguintes diferenças: Os comandos dentro de blocos de linhas simples devem ser executados em qualquer ambiente. Os comandos dentro de blocos de linhas múltiplas só devem ser executados no ambiente do servidor espec. Os comandos dentro de blocos com linhas em negrito devem ser executados apenas no ambiente do DVD. INICIALIZAÇÃO DO AMBIENTE DO DVD No ambiente DVD é necessário digitar os seguintes comandos no terminal do ambiente host antes de iniciar a prática: sudo /etc/init.d/conftap.sh sudo iptables -F sudo services sshd restart sudo iptables -t nat -A POSTROUTING -j MASQUERADE Para todos os cenários dessa prática, será necessário criar duas máquinas virtuais, conforme indicado na figura. A VM H1 atua como um cliente com IP privado, GNAT atua como o roteador com a funcionalidade de NAT. O próprio servidor espec irá atuar no papel do host externo (isto é, um host qualquer da Internet). Presentemente, não é possível ter acesso a Internet a partir das VMs. Dessa forma, o espaço de endereçamento /8 será utilizado para simular os endereços públicos da Internet. Dessa forma, a espec (IP ) irá representar o papel de servidor ou cliente na Internet para nossas práticas. Note que não é possível criar rotas na espec. Dessa forma, uma VM com IP privado (H1) não terá acesso a espec, a menos que a funcionalidade de NAT seja configurada em GNAT. Como nos exercícios anteriores é necessário tomar cuidado para não haver conflito com os endereços de outras VMs sendo executadas na espec. Para isso, supondo que seu código de estudante é (101) x, escolha os seguintes endereços: GNAT eth0: , eth1: H1:

2 Primeiro, abra um terminal na espec, e crie um diretório em sua área para armazenar as máquinas virtuais: mkdir praticanat cd praticanat Crie a primeira máquina virtual para representar o gateway GNAT: linux32.redes GNAT login: root Execute o seguinte procedimento na VM GNAT: ifconfig eth /8 ifconfig eth /24 route add default gw sysctl -w net.ipv4.ip_forward=1 Caso você receba algum aviso de endereço IPv6 duplicado ao atribuir um endereço a interface eth1, digite ^C, e ignore a mensagem, digitando os demais comandos normalmente. Abra outro terminal na espec, e crie uma segunda VM para representar H1: linux32.redes H1 login: root Execute o seguinte procedimento na VM H1: ifconfig eth /24 route add default gw ACESSO VIA PROXY Em GNAT: wget /~jamhour/pacotes/natproxy.tar.gz tar -xzf natproxy.tar.gz cd natproxy rpm -ivh iptables<tab> rpm -ivh comp<tab> rpm -ivh perl-5<tab> rpm -ivh perl-u<tab> rpm -ivh squid<tab> cp squid.conf /etc/squid No DVD está faltando um arquivo que precisa ser criado pelo vi através dos comandos abaixo: vi /etc/sysconfig/network <INS> NETWORKING=Yes service squid start Em H1, verifique se é possível acessar ao serviço HTTP da espec via o proxy SQUID (ip eth1 de GNAT): wget --execute=http_proxy= : O endereço é o endereço da espec. O resultado do comando irá baixar o arquivo index.html da espec. Se a transferência foi bem sucedida, copie o arquivo access.log para o seu diretório na espec. Esse arquivo será usado para compor o relatório dessa prática. Em GNAT: scp /var/log/squid/access.log seu_login@ :. Observe que seu_login é rss no ambiente DVD e o login e_matricula para o ambiente espec. 3. SNAT E DNAT (REVISÃO DOS COMANDO) Neste cenário, o host 1 irá acessar ao servidor HTTP da espec utilizando um proxy de aplicação (SQUID). Para executar essa prática, é necessário instalar vários pacotes na máquina virtual GNAT.

3 A segunda é uma variante do DNAT, denominada REDIRECT. Nesta variante, o redirecionamento é feito sempre para o mesmo IP que recebeu o pacote, alterando-se apenas o número da porta. iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port CONFIGURAÇÃO DOS SNAT No Linux, o NAT é configurado através do utilitário de comando de linha iptables. O iptables serve de interface para outros serviços de redes do Linux, como o filtro de pacotes (firewall). Quando usado para configurar regras de NAT, o iptables segue a seguinte sintaxe: Para o Source NAT (SNAT) iptables -t NAT -A POSTROUTING -j SNAT -o interface_de_saida --to ip:porta_i-porta_f onde: ip: corresponde ao IP público do roteador porta_i-porta_f: corresponde ao range de portas usados pelo NAPT (e.g ). Para o Destination NAT (DNAT) iptables -t NAT -A PREROUTING -j DNAT p tcp --dport lporta i interface_de_entrada --to ip:rporta onde: lporta: porta local onde o pacote será recebido no roteador (eg. 80) ip: corresponde ao IP privado do host para onde o pacote será redirecionado rporta: corresponde a porta remota do host para onde o pacote será redirecionado Existem duas variantes dos comandos acima. A primeira é uma variante do SNAT, denominada MASQUERADE. Nesta variante, o endereço IP da interface de sáida é usado automaticamente, eliminando a necessidade de informá-lo no comando iptables: iptables -t nat -A POSTROUTING -j MASQUERADE -o eth0 Neste primeiro cenário, será testada a funcionalidade de SNAT. O objetivo é permitir que o cliente com ip privado H1 tenha acesso ao servidor na Internet, representado pela espec. Primeiro, no host H1, verifique se ele tem acesso a espec efetuando um comando ping: Em H1: ping Naturalmente, não deverá haver resposta. A mensagem ICMP foi transmitida até a espec, contudo, a espec não é capaz de responder, pois não possui rota para a rede /24. Utilizando o comando SNAT, é possível utilizar o IP publico do GNAT para acessar a espec. Para isso é necessário digitar o seguinte comando em GNAT: Em GNAT iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to Novamente, verifique em H1 se é possível acessar a espec: ping Verifique se outros serviços estão disponíveis para o host H1. Tente efetuar um download via wget: wget

4 Se sua prática foi bem sucedida, liste a regras do iptables no GNAT em um arquivo texto e transfira para espec. iptables -L -t nat >> snat.txt scp snat.txt seu_login@ :. 5. CONFIGURAÇÃO DO DNAT Na espec: ssh root@ Naturalmente, não deverá haver resposta, pois a espec é incapaz de endereçar a rede Agora, adicione o mapeamento em GNAT, necessário para redirecionar a chamada SSH no ip público de GNAT para o host H1: Em GNAT iptables -t nat -A PREROUTING -i eth0 -j DNAT -p tcp --dport 22 --to :22 Novamente, verifique na espec se é possível acessar o serviço ssh em H1, mas agora através de GNAT: ssh root@ ifconfig exit Neste segundo cenário, será testada a funcionalidade de DNAT. O objetivo é permitir que o host com ip privado H1 possa ser acessado por um cliente na da Internet, representado pela espec. Primeiro, no host H1, é necessário autorizar o serviço SSH a receber logins com o usuário root. Para isso, é necessário editar o arquivo: /etc/sshd/sshd.conf: Em H1: vi /etc/ssh/sshd_config <INSERT> Altere a linha: #PermitEmptyPasswords no para: PermitEmptyPassords yes não esqueça de remover o # (comentário) No DVD está faltando um arquivo que precisa ser criado pelo vi através dos comandos abaixo: vi /etc/sysconfig/network <INSERT> NETWORKING=Yes service sshd restart Abra um terminal na espec e verifique se é possível acessar ao serviço SSH em H1: Se sua prática foi bem sucedida, liste a regras do iptables no GNAT em um arquivo texto e transfira para espec. iptables -L -t nat >> dnat.txt scp dnat.txt seu_login@ :. 6. RELATÓRIO A SER ENTREGUE NO EUREKA Elabore um relatório texto, com o conteúdo desses três arquivos Nesse relatório você deverá incluir as informações dos seguintes arquivos: O arquivo com o log de acessos do proxy: /var/log/squid/access.log em GNAT Os arquivos com a configuração iptables coletados em GNAT: iptables -L -t nat > nat.txt Caso você tenha esquecido de criar o arquivo snat.txt durante o cenário 2, você poderá entregar apenas o arquivo dnat.txt, uma vez que as regras criadas no iptables são acumulativas. Lembre-se que o comando para transferir arquivos da VM para espec é: scp arquivo_origem seu_login@ :.

5 Observe que seu_login é rss no ambiente DVD e o login e_matricula para o ambiente espec. Edgard Jamhour, 07/06/ :43