Enrotamento básico con Linux

De Manuais Informática - IES San Clemente.
Ir a la navegación Ir a la búsqueda

Introdución

  • Imos crear un escenario que faga uso dun router, implantado cunha MV, que permite dar saída a internet ás demais MVs e ademais así cada MV só precisa ter un adaptador, conectado a unha rede interna.
  • Preténdese instalar e configurar un router en Debian, de xeito que este faga de pasarela para os equipos da rede interna (wserver, dserver, wclient, uclient, etc).
00 Simulacion Redes Escenarios Parte6 2.jpg


  • Este equipo, como router, terá 2 interfaces:
    • Interface LAN: para poder comunicarse cos equipos da LAN e viceversa. A IP desta interface será a porta de enlace que deberá configurar todo cliente da LAN.
    • Interface WAN: co que este equipo se vai comunicar co exterior. Ademais cando se configure o servizo de routing vaise configurar NAT nesta interface, para que calquera solicitude de conexión co exterior que parta dos equipos da LAN sexa transformada cara o exterior como se fora este equipo (drouter) que a fixera. Ao recibir a resposta do exterior vaise encargar de enviarlla ao equipo da LAN que iniciou a conexión.



Aprende.png
PODES CONSULTAR...


Para revisar e afondar no coñecemento sobre NAT pódese consultar:


  • Antes de comezar a implantar o escenario, obsérvese que só se vai configurar drouter e uclient, os demais equipos enténdese que o usuario sería quen de configuralos, pero irase facendo pouco a pouco cando se precisen.

Preparativos da MV drouter

  • Antes de configurar o servizo de routing vaise configurar a MV que o implantará:
    • Clonar a MV Debian, que teña xa o servizo de ssh e o Webmin instalado.
      • Nome MV: drouter.
    • Facer unha instantánea.

  • Configurar o adaptador 1 por NAT, e asegurarse de que o enderezo MAC non é o mesmo que o da MV da que se clonou.

  • Configurar o adaptador 2 por Rede Interna, e asegurarse de que o enderezo MAC non é o mesmo que o da MV da que se clonou.

Preparativos S.O. drouter

  • Antes de instalar o servizo de routing, configuraranse as interfaces de rede.
  • Preparación de máquina drouter

  • Agora no sistema aparecerán dúas interfaces de rede, co nome eth0 e eth1. Podemos velas co comando ifconfig -a, e nos fixaremos nas súas direccións MAC para saber cal é a interface conectada en modo interna e cal é a NAT. Neste caso, eth0 é a interface en modo NAT e eth1 está en rede interna.

  • Debemos configurar a interface NAT de forma automática por DHCP e a que está en rede interna coa dirección 172.16.0.1. Podemos facelo de calquera das formas xa vistas no curso, na imaxe móstrase como facelo utilizando o ficheiro de configuración das interfaces en Debian.

  • Tras gardar os cambios no ficheiro, reiniciamos o servizo de rede para aplicar a nova configuración. Comprobamos co comando ifconfig que as interfaces están configuradas cos novos datos.

  • Comprobamos con ping que a máquina ten conexión con www.google.es.

Configuración do servizo de routing sobre NAT

  • En Linux, o protocolo NAT configúrase como unha regra dentro do servizo do Firewall. Para poder configurar este servizo de forma sinxela, instalaremos a aplicación shorewall. Webmin inclúe un módulo que nos permitirá configurar de forma gráfica todo o comportamento do Firewall e do procolo NAT.
  • Instalación do servizo de routing con NAT

  • Utilizamos o módulo de Paquetes de software da categoría Sistema do Webmin para instalar o paquete shorewall.

  • Unha vez instalado o paquete, utilizamos a opción de Refrescar módulos para que se mova o módulo de xestión de shorewall á categoría que lle corresponde.

  • En primeiro lugar imos activar o servizo de enrutamento. Dentro da categoría de Rede imos ao apartado de Configuración de rede e picamos sobre Enrutamento e portas de enlace.

  • Activamos a opción de Actuar como router e gardamos os cambios.

  • Na páxina principal do módulo de configuración da rede, picamos no botón de Aplicar configuración para activar os cambios realizados. Pero neste caso (debido a un bug do webmin) con isto non conseguimos realmente activar xa o servizo de routeo na máquina. Se reiniciásemos a máquina virtual xa se activaría, pero imos ver como podemos activar o cambio sen ter que reiniciar.

  • No propio webmin, imos á ferramenta de Comandos de consola (dentro do apartado de Outros) e introducimos o comando: sysctl -p. Picamos no botón de Executar comando para executar este comando no sistema.

  • Vemos o resultado do comando, que xa activa o enrutamento.

  • Imos agora activar o protocolo NAT, para o que faremos uso da ferramenta Cortafogos shoreline que atopamos na categoría de Rede do Webmin. Na páxina principal, veremos que aparece o botón de Iniciar o cortafogos porque neste momento o servizo está parado. Antes de poder inicialo, temos que establecer unha configuración básica para que funcione correctamente. Picamos en primeiro lugar na opción de Zonas de rede.

  • O obxectivo das zonas de rede é proporcionar un nomo lóxico ás distintas redes ás que está conectado este sistema, para así xestionar o firewall de forma máis sinxela. De momento vemos que non hai ningunha zona creada, así que imos crear unha nova.

  • Se nos fixamos no escenario, podemos ver a drouter está conectado a dúas redes, unha rede interna (lan) e outra externa (wan). Así que imos crear dúas zonas de rede para representar estas dúas redes. Para crear unha zona basta con poñerlle un nome, neste caso lan. Como tipo de zona seleccionamos IPv4.

  • Da mesa maneira creamos a zona wan. É obrigatorio tamén crear unha zona que represente ao propio equipo, para logo poder definir regras no firewall para conexións que saian ou cheguen a esta propia máquina. Neste caso, a esta zona chamámoslle sist, e debe ser de tipo Firewall system. Regresamos á lista de táboas para seguir coa configuración do firewall.

  • Imos entrar na opción de Interfaces de rede para indicar cales son as interfaces de rede sobre as que acutará o firewall, e a que zona de rede está conectada cada unha delas.

  • Veremos que non hai definida no firewall ningunha interface de rede, así que agregamos unha.

  • Para crear unha interface de rede no firewall, debemos introducir o nome dunha das interfaces de rede do equipo (que será do tipo eth0, eth1, wlan0, etc.) e seleccionar á zona de rede coa que está conectada esta interface. Por exemplo, no noso caso a interface eth0 está conectada á zona wan. Creamos a interface...

  • e da mesma maneira engadiríamos a interface eth1, neste caso conectada á zona lan. Como drouter só ten dúas interfaces de rede, xa están todas definidas e regresamos á lista de táboas.

  • Para rematar, temos que definir as políticas por defecto do firewall, que son os criterios básicos que o firewall utiliza para decidir se acepta ou rexeita as conexións. Estas políticas poden ser refinadas de forma máis específica mediante regras, en función das máquinas de orixe ou de destino das conexión ou o protocolo que se utilicen na mesma, pero neste curso non imos afondar máis na xestión do firewall.

  • Vemos que non hai ningunha política definida, así que imos crear unha nova.

  • Basicamente, para definir unha política deberemos indicar a zona de orixe e de destino dos paquetes aos que se aplicará a política, e a decisión a aplicar que fundamentalmente pode ser Aceptar (ACCEPT) ou Borrar (DROP). Para simplificar todo o posible a configuración do firewall, imos crear unha política que acepte todas as conexións, veñan da zona que veñan e vaian á zona que vaian. Isto non sería unha configuración desexable nun caso real, xa que facilitaría ataques externos á nosa rede, pero como se dixo non se pretende afondar na xestión do firewall.

  • Vemos na imaxe a política creada. Regresamos a lista de táboas, para iniciar xa o servizo do firewall.

  • Coa configuración establecida xa podemos inciar o cortafogos, picando sobre o botón.

  • Saberemos que o servizo está iniciado porque os botóns da parte inferior da páxina cambian, para mostrar opcións que só están dispoñibles cando o firewall está en execución. Quédanos por ver como utilizar este módulo para configurar o protocolo NAT. Picaremos na opción de Enmascaramento. Dáselle este nome ao protocolo NAT porque o que fai é enmascarar as direccións dunha rede privada a través da dirección IP pública do router.

  • Veremos que non hai ningunha regra de enmascaramento creada, así que engadimos unha nova.

  • O importante é seleccionar a interface de saída, que é a que ten a dirección IP pública es está conectada á rede WAN (que neste caso é eth0) e marcar como rede a enmascaras a que está conectada á interface que ten a dirección IP privada (neste caso eth1). Creamos a regra.

  • Podemos ver a regra creada, que enmascara a rede conectada a eth1 sobre a interface eth0. Con isto xa estamos proporcionando a información necesaria para facer NAT. Regresamos á lista de táboas...

  • e tan só temos que aplicar a configuración.

Configurar a porta de enlace dun cliente da LAN

  • Para mostar a configuración da porta de enlace nun cliente da LAN vaise escoller a MV uclient; nos demais equipos a filosofía sería a mesma.
  • Configurar a porta de enlace dun cliente da LAN

  • Configuramos un só adaptador en modo Rede interna.

  • Configuramos a IP segundo o escenario: 172.16.0.140/16, porta de enlace 172.16.0.1 (drouter, pola interface LAN).

  • Con ifconfig comprobamos que a configuración establecida está activada. De non estalo, desconectamos a tarxeta de rede e conectámola de novo.

Probas de conectividade

  • Para comprobar que todo está correcto pódense facer pings entre os distintos equipos do escenario.
  • Neste caso vanse amosar exemplos de conectividade realizados dende uclient e que en moitos casos teñen que atravesar drouter.
  • Probas de conectividade

  • A imaxe amos o resultado de facer ping a drouter, á dirección IP do host, á dirección IP do router físico que da a saída a Internet, a unha dirección IP en Internet (8.8.8.8) e a un servidor de Internet polo seu nome (www.google.es), obtendo resposta en todos os casos. A opción -c 1 indica que faga un só faga unha solicitude de eco.

  • Se queremos comprobar que os paquetes están pasando realmente por drouter podemos instalar o paquete traceroute, que mostra os routers polos que pasa un paquete para chegar a un destino determinado.

  • Na imaxe vemos o resultado de executar traceroute -n 8.8.8.8, que mostra os routers intermedios (a opción -n é para que só mostre as direccións IP deses routers) ata chegar ao equipo coa dirección 8.8.8.8. Vemos marcado como pasa por drouter en primeiro lugar e logo polo router físico que da saída a Internet.

  • Esta imaxe mostra o comando equivalente en wclient, que sería tracert -d 8.8.8.8. Como vemos, tamén se mostra como os paquetes pasan por drouter e polo router de saída a Internet.


-- Antonio de Andrés Lema e Carlos Carrión Álvarez --

Obtenido de «https://manuais.iessanclemente.net/index.php?title=Enrotamento_básico_con_Linux&oldid=59117»