Administração de redes

Transcrição

1 Administração de redes Configuração do roteador Linux Roteador (também chamado router ou encaminhador) é um equipamento usado para fazer a comutação de protocolos, a comunicação entre diferentes redes de computadores provendo a comunicação entre computadores distantes entre si. OS Roteadores são dispositivos que operam na camada 3 do modelo OSI(camada de rede). A principal característica desses equipamentos é selecionar a rota mais apropriada para repassar os pacotes recebidos. Ou seja, verifica se há congestionamento na rede e encaminha os pacotes para o melhor caminho disponível para um determinado destino. Os roteadores também podem ser computadores dedicados com duas ou mais interfaces(placas) de redes, enviando os pacotes a seus destinos de acordo com as informações armazenadas no protocolo TCP/IP. Os roteadores enviam pacotes de origem a seu destino e fazem filtros de pacotes, prioridade de serviços e analise de topologia de rede. Nesse capítulo iremos usar um computador como roteador com o Linux e com duas ou mais placas de rede para compartilhar a internet e interligar as redes e os computadores através de hubs ou switchs. Veremos 2 tipos de configuração do roteador: Roteador com mascaramento de IP (IP MASQ) Roteador NAT Roteador com mascaramento de IP (IP MASQ) Neste tipo de roteador é utilizado duas ou mais placas de rede, uma para a conexão com a internet e as outras para compartilhar a internet para redes ou sub-redes locais através do mascaramento de IP que é um recurso que oculta os endereços IP privados da rede local ( , ,...) para a internet, e enxergando apenas o endereço IP válido do roteador 200.xxx.xxx.xxx. 1

2 No roteador pode estar instalado 2 ou mais placas de rede: A primeira placa de rede está na interface eth0 ou ppp0 para conexões discada ou ADSL IP dinâmico. A segunda placa de rede está na interface eth1 onde está conectado um HUB ou Swicth para conectar os computadores da rede local. Para ver as placas de redes PCI instaladas execute o comando lspci e em seguida ifconfig para ver os endereços IP. $ lspci -v 00:0a.0 Ethernet controller: VIA Technologies, Inc. VT6105 [Rhine-III] (rev 86) Subsystem: VIA Technologies, Inc. Unknown device 0105 Flags: bus master, stepping, medium devsel, latency 32, IRQ 201 I/O ports at 9400 [size=256] Memory at e (32-bit, non-prefetchable) [size=256] Capabilities: [40] Power Management version 2 00:04.0 Ethernet controller: Silicon Integrated Systems [SiS] SiS900 PCI Fast Ethernet (rev 91) Subsystem: ASUSTeK Computer Inc. Unknown device 80ff Flags: bus master, medium devsel, latency 32, IRQ 209 I/O ports at 9800 [size=256] Memory at e (32-bit, non-prefetchable) [size=4k] 2

3 Expansion ROM at efee0000 [disabled] [size=128k] Capabilities: [40] Power Management version 2 # ifconfig eth0 Encapsulamento do Link: Ethernet Endereço de HW 00:11:2F:90:A6:75 inet end.: Bcast: Masc: endereço inet6: fe80::211:2fff:fe90:a675/64 Escopo:Link UP BROADCASTRUNNING MULTICAST MTU:1500 Métrica:1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:623 errors:0 dropped:0 overruns:0 carrier:0 colisões:0 txqueuelen:1000 RX bytes:0 (0.0 b) TX bytes:28121 (27.4 KiB) IRQ:209 Endereço de E/S:0x9800 eth1 Encapsulamento do Link: Ethernet Endereço de HW 00:08:54:01:8C:C5 inet end.: Bcast: Masc: UP BROADCASTMULTICAST MTU:1500 Métrica:1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:0 errors:0 dropped:0 overruns:0 carrier:0 colisões:0 txqueuelen:1000 RX bytes:0 (0.0 b) TX bytes:0 (0.0 b) IRQ:201 Endereço de E/S:0x9400 Configuração dos endereços IP do roteador Hostname Domínio roteador dominio.com.br DNS primário DNS secundário Endereço IP eth0(ip fixo) ou ppp0(ip dinâmico) Máscara de rede Gateway Endereço IP eth1 (rede local)

4 Máscara de rede Endereço de rede Endereço IP eth2 (rede local) Máscara de rede Endereço de rede /etc/hosts Neste arquivo você especificar nomes de hosts e endereços IP e vice-versa, usado para testes locais na rede e para loopback (localhost). No exemplo abaixo o nome de host roteador corresponde ao IP e vice-versa. /etc/hosts localhost localhost.localdomain roteador roteador.dominio.com.br roteador /etc/hostname Este arquivo define o nome do computador, após as alterações reinicie a computador com um reboot. roteador Edite o arquivo /etc/resolv.conf da seguinte forma: # /etc/resolv.conf nameserver (DNS1 do provedor) nameserver (DNS2 do provedor) ou utilizando os servidores dns1 e dns2 da rede local # /etc/resolv.conf nameserver (DNS1 primmário) nameserver (DNS1 secundário) No Debian edite o arquivo /etc/network/interfaces da seguinte forma: # /etc/network/interfaces auto lo iface lo inet loopback 4

5 # placa de rede da rede externa # configuração IP fixo dinâmico auto eth0 iface eth0 inet dhcp # configuração IP dinâmico conexão discada ou ADSL PPPOE auto ppp0 iface ppp0 inet dhcp # configuração IP fixo estático auto eth0 iface eth0 inet static address (IP fixo fornecido pelo provedor) netmask (máscara de rede fornecida pela provedor) gateway (gateway fornecido do provedor) # placa de rede da rede local auto eth1 iface eth1 inet static address netmask network No Red Hat / Fedora edite o arquivo /etc/resolv.conf: # /etc/resolv.conf nameserver (DNS1 do provedor) nameserver (DNS2 do provedor) Edite os arquivos /etc/sysconfig/network-scripts/ifcfg-eth0, /etc/sysconfig/network-scripts/ifcfg-ppp0 e /etc/sysconfig/network-scripts/ifcfg-eth1 Configuração IP fixo estático: # placa de rede da rede externa # /etc/sysconfig/network-scripts/ifcfg-eth0 DEVICE = eth0 ONBOOT = yes BOOTPROTO = static IPADDR = (IP fixo fornecido pelo provedor) NETMASK = (máscara de rede fornecida pela provedor) GATEWAY = (gateway fornecido do provedor) 5

6 Configuração IP fixo dinâmico DHCP: # placa de rede da rede externa # /etc/sysconfig/network-scripts/ifcfg-eth0 DEVICE = eth0 ONBOOT = yes BOOTPROTO = dhcp Configuração IP dinâmico conexão discada ou ADSL PPPOE: # placa de rede da rede externa # /etc/sysconfig/network-scripts/ifcfg-ppp0 DEVICE = ppp0 ONBOOT = yes BOOTPROTO = dhcp # placa de rede da rede interna # /etc/sysconfig/network-scripts/ifcfg-eth1 DEVICE = eth1 ONBOOT = yes BOOTPROTO = static IPADDR = NETMASK = NETWORK = Arquivos de configuração do roteador Para ativar o roteamento edite o arquivo /etc/sysctl.conf e altere a linha Debian net.ipv4.conf.default.forwarding=1 para net.ipv4.conf.default.forwarding=0 6

7 Red Hat / Fedora net.ipv4.ip_forwarding=1 para net.ipv4.ip_forwarding=0 Ou você pode adicionar o seguinte comando como root em seu arquivo de Firewall # echo 1 > /proc/sys/net/ipv4/ip_forward Agora habilite o mascaramento de IP para compartilhar a internet com seguinte comando: conexão IP fixo em eth0 # iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE conexão discada ou ADSL IP dinâmico em ppp0 # iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE Para ativar as configurações após reiniciar o computador crie um script geramente em /etc/init.d/ com os comandos acima e torne-o executável e adicione-o no arquivo de inicialização /etc/rc.local. # /etc/init.d/firewall # apaga todas as regras /sbin/iptables -F # apaga todas as regras da tabela nat /sbin/iptables -F -t nat # ativa o roteamento echo 1 > /proc/sys/net/ipv4/ip_forward # habilita o mascaramento de IP /sbin/iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE Para vizualizar as regras adicionadas executa o comando abaixo # iptables -L -t nat Mude as permissões para torna-lo executável # chmod +x firewall Adicione-o na inicialização no arquivo /etc/rc.local # /etc/rc.local /etc/init.d/firewall Agora reinicie a rede ou reinicie o computador e execute o script do firewall 7

8 # /etc/init.d/networking restart # /etc/init.d/firewall # /sbin/service network restart # /etc/init.d/firewall ou # reboot Configurando os computadores da rede local Os computadores da rede local pode ser qualquer sistema operacional como Linux, FreeBSD ou Windows e na sua configuração basta adicionar o IP do roteador e colocar os endereços DNS do provedor e um IP pertencente a rede do roteador. Abaixo seguem os exemplos de um computador com Ubuntu, Debian ou kurumin onde é necessário editar os arquivos /etc/resolv.conf e /etc/network/interfaces ou usar a ferramenta gráfica Netwok-Admin. # /etc/resolv.conf nameserver (DNS1 do provedor) nameserver (DNS2 do provedor) ou utilizando os servidores dns1 e dns2 da rede local # /etc/resolv.conf nameserver (DNS1 primário) nameserver (DNS1 secundário) # /etc/network/interfaces # placa de rede de um computador da rede local auto eth0 8

9 iface eth0 inet static address netmask network gateway (endereço IP do roteador) Reinicie a rede # /etc/init.d/networking restart Agora teste o roteador com o comando ping de um computador da rede $ ping $ ping Roteador NAT Roteador NAT(Tradução de endereço de rede) que é um recurso que permite um computador da rede local com IP privado ( ) responda como se fosse o endereço externo do roteador (200.xxx.xxx.xxx) com duas ou mais placas de rede: uma para a internet onde é atribuído vários endereços IP em uma única placa de rede chamado de IP aliasing economizando com a instalação de várias placas de rede no roteador. E as outras para redes ou sub-redes locais DMZ onde estão vários servidores HTTP, DNS, SMTP, Banco de dados e etc. No roteador pode estar instalado duas ou mais placas de rede: A primeira placa de rede está na interface eth0 ou ppp0 para conexões discada ou ADSL IP dinâmico. A segunda placa de rede está na interface eth1 onde está conectado um HUB ou Swicth para conectar os computadores da rede local. 9

10 Para ver as placas de redes PCI instaladas execute o comando lspci e em seguida ifconfig para ver os endereços IP. $ lspci -v 00:0a.0 Ethernet controller: VIA Technologies, Inc. VT6105 [Rhine-III] (rev 86) Subsystem: VIA Technologies, Inc. Unknown device 0105 Flags: bus master, stepping, medium devsel, latency 32, IRQ 201 I/O ports at 9400 [size=256] Memory at e (32-bit, non-prefetchable) [size=256] Capabilities: [40] Power Management version 2 00:04.0 Ethernet controller: Silicon Integrated Systems [SiS] SiS900 PCI Fast Ethernet (rev 91) Subsystem: ASUSTeK Computer Inc. Unknown device 80ff Flags: bus master, medium devsel, latency 32, IRQ 209 I/O ports at 9800 [size=256] Memory at e (32-bit, non-prefetchable) [size=4k] Expansion ROM at efee0000 [disabled] [size=128k] Capabilities: [40] Power Management version 2 # ifconfig eth0 Encapsulamento do Link: Ethernet Endereço de HW 10

11 00:11:2F:90:A6:75 inet end.: Bcast: Masc: endereço inet6: fe80::211:2fff:fe90:a675/64 Escopo:Link UP BROADCASTRUNNING MULTICAST MTU:1500 Métrica:1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:623 errors:0 dropped:0 overruns:0 carrier:0 colisões:0 txqueuelen:1000 RX bytes:0 (0.0 b) TX bytes:28121 (27.4 KiB) IRQ:209 Endereço de E/S:0x9800 eth1 Encapsulamento do Link: Ethernet Endereço de HW 00:08:54:01:8C:C5 inet end.: Bcast: Masc: UP BROADCASTMULTICAST MTU:1500 Métrica:1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:0 errors:0 dropped:0 overruns:0 carrier:0 colisões:0 txqueuelen:1000 RX bytes:0 (0.0 b) TX bytes:0 (0.0 b) IRQ:201 Endereço de E/S:0x9400 Configuração dos endereços IP do roteador A configuração da rede é indêntica a configuração mostrada acima no roteador com IP MASQ (Mascaramento de IP). Arquivos de configuração do roteador A configuração do arquivo /etc/sysctl.conf e /proc/sys/net/ipv4/ip_formard para habilitar o roteamento e para fazer o mascaramento de IP com /sbin/iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE é idêntica a configuração mostrada acima no roteador com IP MASQ (Mascaramento de IP). Abaixo será mostrado a configuração para testes localmente na rede com IP Aliasing, portanto para testes externos use endereços IP válidos 200.xxx.xxx.xxx obtidos por uma conexão ADSL banda larga. Crie os endereços virtuais com IP Aliasing e redirecione as requisições de um serviço como HTTP, SSH, FTP e etc para um servidor da rede local. Crie os endereços IP virtuais podendo ser qualquer endereço Classe A, B, ou C com IP Aliasing através dos comandos ifconfig e route. # /sbin/ifconfig eth0: netmask # /sbin/ifconfig eth0: netmask

12 # /sbin/route add -host dev eth0:0 # /sbin/route add -host dev eth0:1 Repare que os endereços criados com IP Aliasing eth0:0 e eth0:1 tem o mesmo endereço físico de hardware (MAC) da placa de rede eth0, onde são adicionados na tabela de roteamento e visualizados com o comando route -n. # route -n Tabela de Roteamento IP do Kernel Destino Roteador MáscaraGen. Opções Métrica Ref Uso Iface UH eth UH eth0 # ifconfig eth0 Encapsulamento do Link: Ethernet Endereço de HW 00:11:2F:90:A6:75 inet end.: Bcast: Masc: endereço inet6: fe80::211:2fff:fe90:a675/64 Escopo:Link UP BROADCASTRUNNING MULTICAST MTU:1500 Métrica:1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:4006 errors:0 dropped:0 overruns:0 carrier:0 colisões:0 txqueuelen:1000 RX bytes:0 (0.0 b) TX bytes: (168.7 KiB) IRQ:209 Endereço de E/S:0x9800 eth0:0 Encapsulamento do Link: Ethernet Endereço de HW 00:11:2F:90:A6:75 inet end.: Bcast: Masc: UP BROADCASTRUNNING MULTICAST MTU:1500 Métrica:1 IRQ:209 Endereço de E/S:0x9800 eth0:1 Encapsulamento do Link: Ethernet Endereço de HW 00:11:2F:90:A6:75 inet end.: Bcast: Masc: UP BROADCASTRUNNING MULTICAST MTU:1500 Métrica:1 IRQ:209 Endereço de E/S:0x9800 Agora redirecione as conexões vindas da internet para um servidor da rede local com um endereço IP válido 200.xxx.xxx.xxx externamente ou localmente com um IP virtual com IP Aliasing Exemplos: IP válido externo 12

13 # /sbin/iptables -A PREROUTING -t nat -d j DNAT --to # /sbin/iptables -A POSTROUTING -t nat -s j SNAT --to IP virtual interno # /sbin/iptables -A PREROUTING -t nat -d j DNAT --to # /sbin/iptables -A POSTROUTING -t nat -s j SNAT --to # /sbin/iptables -A PREROUTING -t nat -d j DNAT --to # /sbin/iptables -A POSTROUTING -t nat -s j SNAT --to Agora quem irá responder as conexões internas vindas dos endereços IP e são os computadores com endereços IP e da rede local. E as conexões externas vindas do endereço IP externo quem irá responder é computador Em um computador da rede interna teste com o comando ping e e quem irá responder são os computadores e $ ping $ ping Para ativar as configurações após reiniciar o computador crie um script geralmente em /etc/init.d/ com os comandos acima e torne-o executável e adicione-o no arquivo de inicialização /etc/rc.local. # /etc/init.d/firewall # apaga todas as regras /sbin/iptables -F # apaga todas as regras da tabela nat /sbin/iptables -F -t nat # ativa o roteamento echo 1 > /proc/sys/net/ipv4/ip_forward # habilita o mascaramento de IP /sbin/iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE # atribuindo vários endereços IP na mesma placa de rede com IP Aliasing /sbin/ifconfig eth0: netmask /sbin/ifconfig eth0: netmask /sbin/route add -host dev eth0:0 /sbin/route add -host dev eth0:1 # Redirecionando conexões de portas vindas da internet para um servidor da rede local # IP válido externo redirecionando a porta 80 do reteador para a porta 80 do computador 13

14 iptables -t nat -A PREROUTING -p tcp --dport 80 -d j DNAT --to :80 iptables -t nat -A POSTROUTING -p tcp --sport 80 -s j SNAT --to :80 # IP virtual interno redirecionando conexões para servidores da rede local iptables -t nat -A PREROUTING -d j DNAT --to iptables -t nat -A POSTROUTING -s j SNAT --to iptables -t nat -A PREROUTING -d j DNAT --to iptables -t nat -A POSTROUTING -s j SNAT --to Para visualizar as regras adicionadas executa o comando abaixo # iptables -L -t nat -v Mude as permissões para torna-lo executável # chmod +x /etc/init.d/firewall Adicione-o na inicialização no arquivo /etc/rc.local # /etc/rc.local /etc/init.d/firewall Agora reinicie a rede ou reinicie o computador e execute o script do firewall # /etc/init.d/networking restart # /etc/init.d/firewall # /sbin/service network restart # /etc/init.d/firewall ou # reboot Configurando um computador da rede local como servidor Configuração dos endereços IP dos servidores da rede local 14

15 Hostname Domínio www1 dominio.com.br DNS primário DNS secundário Endereço IP eth0 (rede local) máscara de rede Endereço de rede Gateway /etc/hosts /etc/hosts localhost localhost.localdomain www www1.dominio.com.br www1 /etc/hostname Após as alterações reinicie a computador com um reboot. www1 /etc/resolv.conf # /etc/resolv.conf nameserver (DNS1 do provedor) nameserver (DNS2 do provedor) ou utilizando os servidores dns1 e dns2 da rede local # /etc/resolv.conf nameserver (DNS1 primmário) nameserver (DNS1 secundário) No Debian edite o arquivo /etc/network/interfaces da seguinte forma: # /etc/network/interfaces auto lo iface lo inet loopback auto eth0 iface eth0 inet static address

16 netmask network gateway # endereço IP do rotedaor A configuração de um computador da rede local é indêntica a configuração mostrada acima no roteador com IP MASQ (Mascaramento de IP). Basta apenas instalar e configurar um computador da rede como servidor de algum serviço como HTTP, FTP, SSH etc. Neste exemplo iremos usar o computador com IP como servidor web (HTTP) rodando o servidor Apache. Para isso será nessário instalar o servidor apache com o comando apt-get. # apt-get install apache2 Agora inicie o apache # /etc/init.d/apache2 start Agora teste o roteador a a partir de um computador da internet, para isso entre no amsn e mande um colega testar de uma Lan House acessando o navegador de internet o endereço IP do roteador Você pode testar de uma máquina como servidor ( ) da rede local com o comando ping ou acessando o navegador $ ping Configurando rotas Os Roteadores interligam duas ou mais redes e são chamados de Gateways. A necessidade de configurarmos rotas estáticas surge à medida que possuímos mais de um gateway na rede. Image que temos duas redes A ( ) e B ( ) e temos 3 roteadores na rede da seguinte forma: 16

17 O primeiro roteador é o reteador principal que está conectado a internet com 2 placas de rede: a primeira placa de rede eth0 é a que está conectada a internet e a segunda placa de rede eth1 está conectada a rede local A ( ). As rotas serão configuradas no roteador principal onde está conectado a internet. O segundo roteador é o reteador que está conectado na rede A ( ) com 2 placas de rede: a primeira placa de rede eth0 é a que está conectada a rede local A ( ) e a segunda placa de rede eth1 está conectada a rede local B ( ). Abaixo segue o diagrama da rede Para configurar as rotas no Linux use o comando route e para ativar as configurações após reiniciar o computador crie um script geralmente em /etc/init.d/ com os comandos acima e torne-o executável e adicione-o no arquivo de inicialização /etc/rc.local. 17

18 Adicionando uma rota # route add -net netmask gw dev eth1 Visualizando a rota que fora adcionada anteriormente: # route -n Destino Roteador MáscaraGen. Opções Métrica Ref Uso Iface UH ppp U eth UG eth U eth U ppp0 Excluindo uma rota # route del -net netmask gw dev eth1 Agora crie um script para ativar na inicialização # /etc/init.d/rc.rotas # configurando as rotas /sbin/route add -net netmask gw dev eth1 Mude as permissões para torna-lo executável # chmod +x rc.rotas Adicione-o na inicialização no arquivo /etc/rc.local # /etc/rc.local /etc/init.d/rc.rotas 18