Arquitectura de Redes



Documentos relacionados
Administração de Redes 2014/15. Network Address Translation (NAT)

Prof. Samuel Henrique Bucke Brito

Iptables. Adailton Saraiva Sérgio Nery Simões

Elaboração de Script de Firewall de Fácil administração

Firewalls em Linux. Tutorial Básico. André Luiz Rodrigues Ferreira

Curso de extensão em Administração de sistemas GNU/Linux: redes e serviços

Professor Claudio Silva

Instalação e Configuração Iptables ( Firewall)

A camada de rede do modelo OSI

Obs: Endereços de Rede. Firewall em Linux Kernel 2.4 em diante. Obs: Padrões em Intranet. Instalando Interface de Rede.

IPTABLES. Helder Nunes

Capítulo 4 TCP/IP FIREWALLS.

Segurança de Redes. Firewall. Filipe Raulino

Firewalls, um pouco sobre...

Aula 08. Firewall. Prof. Roitier Campos Gonçalves

Entendendo como funciona o NAT

ADMINISTRAÇÃO DE REDES I LINUX. Firewall. Frederico Madeira LPIC 1, CCNA fred@madeira.eng.br

Linux Network Servers

01 - Entendendo um Firewall. Prof. Armando Martins de Souza armandomartins.souza@gmail.com

INTRODUÇÃO ÀS REDES DE COMPUTADORES

Netfilter e Iptables

comando parâmetro alternativo parâmetro REGRA função iptables -t tabela -N --new chain cria uma nova chain. iptables -t tabela -E --rename-chain

Gestão de Sistemas e Redes

Trabalho 3 Firewalls

Capítulo 11: NAT para IPv4

FIREWALL COM IPTABLES. by João Eriberto Mota Filho 3. TABELAS. Tabela Filter ESQUEMA DA TABELA FILTER

Autor: Armando Martins de Souza <armandomartins.souza at gmail.com> Data: 12/04/2010

Administração de Sistemas

III WTR do POP-BA III Workshop de Tecnologias de Redes Ponto de Presença da RNP na Bahia Instrutor: Ibirisol Fontes Monitor: Jundaí Abdon.

Segurança de redes com Linux. Everson Scherrer Borges Willen Borges de Deus

Firewall. Tutorial Firewall em Linux Acadêmicos: Felipe Zottis e Cleber Pivetta

Segurança em Sistemas de Informação

O que é uma firewall? É um router entre uma rede privada e uma rede pública que filtra o tráfego com base num conjunto de regras.

Administração de Sistemas Operacionais

Uso do iptables como ferramenta de firewall.

Curso Firewall. Sobre o Curso de Firewall. Conteúdo do Curso

Administração de Redes Firewall IPTables


Firewall e Proxy. Relatório do Trabalho Prático nº 2. Segurança em Sistemas de Comunicação

Capítulo 1 PROTOCOLOS FUNDAMENTAIS DA INTERNET

NETWORK ADDRESS TRANSLATION

Orientador de Curso: Rodrigo Caetano Filgueira

Firewall IPTables e Exemplo de Implementação no Ambiente Corporativo.

A camada de rede. A camada de rede. A camada de rede. 4.1 Introdução. 4.2 O que há dentro de um roteador

ENDEREÇAMENTO PRIVADO PROXY E NAT

PROJETO DE IMPLEMENTAÇÃO DE UM SERVIDOR FIREWALL LIVRE UTILIZANDO IPTABLES

Segurança de Redes de Computadores

FireWall no Linux FIREWALL COM IPTABLES. by João Eriberto Mota Filho

Compartilhamento da internet, firewall

Ciência da Computação / Sistemas de Informação Redes de Computadores Escalonamento de Endereço IP NAT e DHCP

Redes de Computadores II. Professor Airton Ribeiro de Sousa

Tipos de Firewalls. porta de origem/destino, endereço de origem/destino, estado da conexão, e outros parâmetros do pacote.

Oficina de ferramentas de Gerência para Redes em Linux

Redes de Computadores I

Configurando Interface de Rede. IPTABLES Firewall em Linux Kernel 2.4 em diante. Regras do Iptables. Iptables. Regras do Iptables. Comandos Principais

EN-3611 Segurança de Redes Aula 07 Firewalls Prof. João Henrique Kleinschmidt

Firewall - IPTABLES. Conceitos e Prática. Tópicos em Sistemas de Computação Prof. Dr. Adriano Mauro Cansian adriano@acmesecurity.

Firewalls. André Zúquete Segurança Informática e nas Organizações 1

Tema do Minicurso: Firewall IPTABLES. Carga horária 3h

IP - endereçamento. Endereço IP. Ex.: Identificador de 32 bits para interfaces de roteadores e hospedeiros

Projeto e Instalação de Servidores Servidores Linux Aula 6 Firewall e Proxy

Camada de rede: IP. Cabeçalho IP, encaminhamento de pacotes IP, sub-redes, máscara de sub-redes e processos de cálculo, NAT e PAT, futuro do IPv4.

Disciplina Fundamentos de Redes. Introdução ao Endereço IP. Professor Airton Ribeiro de Sousa Outubro de 2014

Handson Policy Based Routing

Prática NAT/Proxy. Edgard Jamhour. Esses exercícios devem ser executados através do servidor de máquinas virtuais: espec.ppgia.pucpr.

Pós Graduação Tecnologia da Informação UNESP Firewall

BRUNO PEREIRA PONTES

Aula Prática Roteador

GESTÃO DE SISTEMAS E REDES YNAMIC HOST CONFIGURATION PROTOCOL

Arquitectura de Redes

Firewall Iptables. Professor: João Paulo de Brito Gonçalves. Campus - Cachoeiro Curso Técnico de Informática

ADMINISTRAÇÃO DE REDES DE COMPUTADORES UALG/FCT/DEEI 2005/2006

Uso de Bridges Linux no Controle de Tráfego entre Sub Redes em Uma Mesma Rede Lógica

Aula-19 NAT, IP Móvel e MPLS. Prof. Dr. S. Motoyama

Load Balance / Route Policy (para series Vigor 2860 / Vigor 2925)

Linux Controle de Redes

** Distance Vector - Trabalha com a métrica de Salto(HOP),. O protocolo que implementa o Distance Vector é o RIP.!

Prof. Roberto Franciscatto 4º Semestre - TSI - CAFW. Free Powerpoint Templates Page 1

I Workshop do POP MG. Firewall IPTABLES. Fernando Resende Coelho mg.rnp.br

Segurança Informática e nas Organizações. Guiões das Aulas Práticas

Protocolos em Redes de Dados Ficha de Laboratório Número 4 BGP

Nível de segurança de uma VPN

Criptografia e Segurança das Comunicações. Firewalls

Administração de Redes Redes e Sub-redes

NAT: Definições locais e globais

Redes de Computadores

O endereço IP (v4) é um número de 32 bits com 4 conjuntos de 8 bits (4x8=32). A estes conjuntos de 4 bits dá-se o nome de octeto.

Vodafone ADSL Station Manual de Utilizador. Viva o momento

IPTABLES. Universidade Federal de Minas Gerais Departamento de Ciência da Computação Laboratório de Software Livre. 4 de fevereiro de 2010

Endereços IP Sem Classe, Endereços Privados e NAT. Prof. Othon M. N. Batista (othonb@yahoo.com) Mestre em Informática

Segurança com Iptables

Execícios de Revisão Redes de Computadores Edgard Jamhour. Proxy, NAT Filtros de Pacotes

Transcrição:

Arquitectura de Redes Network Address Translation NAT Rui Prior 2006/07 (adap. Pedro Brandão) 1

Objectivo / Motivação Escassez de endereços IPs Pequenas / médias empresas com ligação dial-up, ADSL ou cabo querem IPs para as suas máquinas (também utilizadores domésticos). Cada um pode ter mais do que uma máquina por trás. Solução: Network Address Translation Vantagens: Utilização de endereços privados nas Intranets Possibilidade de fusão entre redes com endereços duplicados Facilidade de mudança de ISP Privacidade RFCs 3022 Traditional IP Network Address Translator (NAT) 1918 Address Allocation for Private Internets Rui Prior 2006/07 (adap. Pedro Brandão) 2

Utilização Endereços privados não são permitidos na internet. Routers não fazem routing destes IPs 10.0.0.0 10.255.255.255 /8 172.16.0.0 172.31.255.255 /12 192.168.0.0-192.168.255.255 /24 193.34.56.200 195.170.3.45 internet 192.168.100.0/24 192.168.100.0/24 Rui Prior 2006/07 (adap. Pedro Brandão) 3

Exemplo NAT DA: 192.168.100.20 SA: 195.31.30.45 Ver tabela NAT para mapeamento de 193.34.56.205 193.34.56.200 NAT router DA: 195.31.30.45 SA: 193.34.56.207 internet DA: 192.168.100.25 SA: 195.31.30.45 Endereços disponíveis: 193.34.56.203 a 193.34.56.210 Ver tabela NAT para mapeamento de 192.168.100.20 DA: 195.31.30.45 SA: 193.34.56.205 192.168.100.0/24 192.168.100.25 DA: 195.31.30.45 SA: 192.168.100.25 DA: 195.31.30.45 SA: 192.168.100.20 192.168.100.20 DA: 193.34.56.205 SA: 195.31.30.45 195.31.30.45 DA: 193.34.56.207 SA: 195.31.30.45 Rui Prior 2006/07 (adap. Pedro Brandão) 4

Operações Problema da identificação do pacote no retorno. Manual tabela construída administrativamente Saída de Pacotes criação dinâmica baseada nos pacotes que saem. Entrada de pedidos DNS quando vem um pedido ao DNS ele acrescenta a entrada na tabela NAT. Checksums (IP e TCP) são recalculados e colocados no pacote. Mapeamento 1 para 1. Se a caixa NAT tiver disponível mais do que 1 IP válido, pode-se aumentar o número de máquinas a aceder simultaneamente. Rui Prior 2006/07 (adap. Pedro Brandão) 5

Port Address Translation PAT (ou NAPT) NAT não permite a multiplexagem dos endereços disponíveis. Utilização das portas da camada TCP ou UDP sport e dport definem os processos nos 2 extremos (IP dá a máquina) O novo sport é usado como índice para a tradução. Sendo único na caixa NAT. 16 bits (campo TCP port) 65536 portas Apenas se devem usar as dinâmicas (16384 portas, de 49152 a 65535) Rui Prior 2006/07 (adap. Pedro Brandão) 6

Exemplo NAPT Endereço Privado Porta privada Endereço externo Porta Externa Porta NAT Protocolo 192.168.100.20 2050 195.31.30.45 22 54053 tcp 192.168.100.25 4560 195.31.30.45 22 64056 tcp DA: 192.168.100.20 :2050 SA: 195.31.30.45 :22 Consultar tabela para porta 54053 193.34.56.200 NAT router Endereços disponíveis: 193.34.56.203 a 193.34.56.210 Acrescentar entrada para porta 54053 internet DA: 195.31.30.45 :22 SA: 193.34.56.205 :54053 DA: 195.31.30.45 :22 SA: 193.34.56.205 :64056 192.168.100.0/24 192.168.100.25 DA: 195.31.30.45 :22 SA: 192.168.100.25 :4560 DA: 195.31.30.45 :22 SA: 192.168.100.20 :2050 192.168.100.20 195.31.30.45 DA: 193.34.56.205 :54053 SA: 195.31.30.45 :22 Rui Prior 2006/07 (adap. Pedro Brandão) 7

Exemplo NAPT para interior (port forwarding) Endereço Privado Porta privada Endereço externo Porta Externa Porta NAT Protocolo 192.168.100.20 22 7022 tcp 192.168.100.25 80 9080 tcp DA: 192.168.100.20 :22 SA: 195.31.30.45 :6899 Consultar tabela para porta 7022 193.34.56.200 NAT router internet 192.168.100.0/24 DA: 193.34.56.200:7022 SA: 195.31.30.45 :6899 192.168.100.25 192.168.100.20 195.31.30.45 Rui Prior 2006/07 (adap. Pedro Brandão) 8

Notas iptables Caminho do Pacote IP no NetFilter PRE ROUTE FORWARD POS ConnTrack Mangle Mangle Mangle NAT (Dst) IN Filter ROUTE NAT (Src) ConnTrack ConnTrack OUT Chains Tables Filter Mangle Local Process ConnTrack Mangle NAT (Dst) Rui Prior 2006/07 (adap. Pedro Brandão) 9 Filter

Notas iptables II Colocam-se regras nas tabelas especificando a chain em que ficam. Quando um pacote faz um match com uma regra o Target associado a essa regra é efectuado. Targets variam consoante as tabelas que estão a ser consultadas Exemplos: Filter Table: DROP, ACCEPT Nat Table: DNAT, SNAT, MASQUERADE, REDIRECT Podem ser criados novas Chains pelo utilizador, sendo associadas a Targets de regras. Rui Prior 2006/07 (adap. Pedro Brandão) 10

Notas iptables III Exemplo: ## Change source addresses to 1.2.3.4. iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to 1.2.3.4 table chain target Rui Prior 2006/07 (adap. Pedro Brandão) 11

Notas Cisco I Global endereços que são vistos na rede externa. Local endereços que são vistos na rede interna. Fonte: CISCO NAT: Local and Global Definitions Rui Prior 2006/07 (adap. Pedro Brandão) 12

Notas Cisco II Inside local address endereço IP de uma máquina na rede interna. É o endereço alocado/definido na configuração de rede de um máquina interna. Inside global address endereço IP legítimo que representa um ou mais endereços IPsinsidelocal para o exterior. Outside local address endereço IP de uma máquina exterior como é visto na rede interna, não necessariamente legítimo. É um endereço encaminhável internamente. Outside global address endereço IP de uma máquina na rede externa que é globalmente encaminhável. Fonte: CISCO NAT: Local and Global Definitions Rui Prior 2006/07 (adap. Pedro Brandão) 13

Notas Cisco III Inside Local endereço interno à rede que será traduzido. Inside Global endereço IP de uma máquina da rede interna como é visto no exterior (após a tradução). Fonte: CISCO IOS NETWORK ADDRESS TRANSLATION Rui Prior 2006/07 (adap. Pedro Brandão) 14

Exemplo Cisco I ip nat inside source static 10.10.10.1 171.16.68.5 Inside Global Inside Local Outside Local Outside Global 171.16.68.5 10.10.10.1 171.16.68.1 171.16.68.1 Fonte: CISCO IOS NETWORK ADDRESS TRANSLATION Rui Prior 2006/07 (adap. Pedro Brandão) 15

Exemplo Cisco II ip nat outside source static 171.16.68.1 10.10.10.5 Inside Global Inside Local Outside Local Outside Global 10.10.10.1 10.10.10.1 10.10.10.5 171.16.68.1 Fonte: CISCO IOS NETWORK ADDRESS TRANSLATION Rui Prior 2006/07 (adap. Pedro Brandão) 16

Exemplo Cisco III ip nat inside source static 10.10.10.1 171.16.68.5 ip nat outside source static 171.16.68.1 10.10.10.5 Inside Global Inside Local Outside Local Outside Global 171.16.68.5 10.10.10.1 10.10.10.5 171.16.68.1 Fonte: CISCO IOS NETWORK ADDRESS TRANSLATION Rui Prior 2006/07 (adap. Pedro Brandão) 17

Problemas / Objecções ao NA(P)T Endereço IP não identifica univocamente uma máquina. Connectionless para connection-oriented: caixas NAPT têm de manter a informação sobre as conexões. Caixa NAT modifica a camada IP baseado na assunção da formatação da camada superior (quebra das regras de camadas protocolares). Se a aplicação não usar UDP ou TCP... ICMP complica o NAT, obrigando a que as respostas ICMP sejam alteradas. Rui Prior 2006/07 (adap. Pedro Brandão) 18

Problemas / Objecções ao NAT Aplicações podem enviar nos campos de dados endereços IPs ou portas para a comunicação (FTP envia a porta de dados). Existem módulos extra para o NAT para tratarem destes casos (ip_conntrack_ftp nas iptables Linux) Ver RFC 2993 Architectural Implications of NAT Rui Prior 2006/07 (adap. Pedro Brandão) 19

2026 © DocPlayer.com.br Política de Privacidade | Termos de serviço | Feedback