Sieci komputerowe. Tadeusz Kobus, Maciej Kokociński Instytut Informatyki, Politechnika Poznańska

Podobne dokumenty
Sieci Komputerowe Translacja adresów sieciowych

Sieci komputerowe. Tadeusz Kobus, Maciej Kokociński Instytut Informatyki, Politechnika Poznańska

iptables/netfilter co to takiego?

Wykład 3 Filtracja i modyfikacja pakietów za pomocą iptables.

Tomasz Greszata - Koszalin

Zadanie1: Odszukaj w serwisie internetowym Wikipedii informacje na temat zapory sieciowej (firewall) oraz oprogramowania iptables.

Sieci komputerowe. Tadeusz Kobus, Maciej Kokociński Instytut Informatyki, Politechnika Poznańska

Warsztaty z Sieci komputerowych Lista 9

Router programowy z firewallem oparty o iptables

Zadanie1: Odszukaj w serwisie internetowym Wikipedii informacje na temat zapory sieciowej.

Najprostsza odpowiedź, jaka przychodzi mi do głowy to, z powodu bezpieczeństwa.

Co to jest iptables?

Pakiet Iptables. Filtrowanie pakietów i filtrowanie stanowe

Pakiet Iptables. Filtrowanie pakietów i filtrowanie stanowe

Warsztaty z Sieci komputerowych Lista 8

Sieci komputerowe. Tadeusz Kobus, Maciej Kokociński Instytut Informatyki, Politechnika Poznańska

Hosting WWW Bezpieczeństwo hostingu WWW. Dr Michał Tanaś (

Sieci komputerowe. Zajęcia 4 Bezpieczeństwo w sieciach komputerowych

Zapory sieciowe i techniki filtrowania danych

Zarządzanie bezpieczeństwem w sieciach

Wdrażanie i zarządzanie serwerami zabezpieczającymi Koncepcja ochrony sieci komputerowej

Tomasz Greszata - Koszalin

Zadanie1: Odszukaj w Wolnej Encyklopedii Wikipedii informacje na temat NAT (ang. Network Address Translation).

Na podstawie: Kirch O., Dawson T. 2000: LINUX podręcznik administratora sieci. Wydawnictwo RM, Warszawa. FILTROWANIE IP

Wykład 2: Budowanie sieci lokalnych. A. Kisiel, Budowanie sieci lokalnych

Sieci komputerowe. Tadeusz Kobus, Maciej Kokociński Instytut Informatyki, Politechnika Poznańska

SYSTEMY OPERACYJNE I SIECI KOMPUTEROWE. Opracowany na podstawie

Iptables. Krzysztof Rykaczewski. 15/11/06 1

iptables -F -t nat iptables -X -t nat iptables -F -t filter iptables -X -t filter echo "1" > /proc/sys/net/ipv4/ip_forward

ZiMSK NAT, PAT, ACL 1

Iptables informacje ogólne

8. Konfiguracji translacji adresów (NAT)

Bezpieczeństwo Systemów Telekomunikacyjnych 2014 / 2015 Bezpieczeństwo aplikacji sieciowych, Ataki (D)DoS Prowadzący: Jarosław Białas

Tworzenie maszyny wirtualnej

Instalacja i konfiguracja pakietu iptables

Oryginał tego dokumentu znajduje się pod adresem: HOWTO/index.html

Systemy programowych zapór sieciowych (iptables)

Zakresy prywatnych adresów IPv4: / / /24

Wykład Nr Sieci bezprzewodowe 2. Monitorowanie sieci - polecenia

* konfiguracja routera Asmax V.1501 lub V.1502T do połączenia z Polpakiem-T lub inną siecią typu Frame Relay

Opis ogólny ustawień NAT na podstawie Vigora serii 2700

Konfiguracja połączenia G.SHDSL punkt-punkt w trybie routing w oparciu o routery P-791R.

Lab 9 Konfiguracja mechanizmu NAT (Network Address Translation)

NAT/NAPT/Multi-NAT. Przekierowywanie portów

Ochrona sieci lokalnej za pomocą zapory sieciowej

Zarządzanie Jakością Usług w Sieciach Teleinformatycznych

Kierunek: technik informatyk 312[01] Semestr: II Przedmiot: Urządzenia techniki komputerowej Nauczyciel: Mirosław Ruciński

Linux. iptables, nmap, DMZ

pasja-informatyki.pl

Laboratorium 6.7.2: Śledzenie pakietów ICMP

(źródło: pl.wikipedia.pl) (źródło:

Zadania do wykonania Firewall skrypt iptables

Laboratorium - Przeglądanie tablic routingu hosta

4. Podstawowa konfiguracja

Ćwiczenie 5b Sieć komputerowa z wykorzystaniem rutera.

Zabezpieczenia w systemach Linux. Autorzy: Krzysztof Majka, Mirosław Mika IVFDS

eth /30 eth1 eth /30 eth /30 Serwer IPERF

Ćwiczenie Konfiguracja statycznych oraz domyślnych tras routingu IPv4

Adresy w sieciach komputerowych

Laboratorium - Używanie programu Wireshark do obserwacji mechanizmu uzgodnienia trójetapowego TCP

Dlaczego? Mało adresów IPv4. Wprowadzenie ulepszeń względem IPv4 NAT CIDR

Zarządzanie ruchem w sieci małego ISP Michał Prokopiuk

Routing - wstęp... 2 Routing statyczny... 3 Konfiguracja routingu statycznego IPv Konfiguracja routingu statycznego IPv6...

Ćwiczenie 5a Sieć komputerowa z wykorzystaniem rutera.

Akademickie Centrum Informatyki PS. Wydział Informatyki PS

DHCP + udostępnienie Internetu

Teletransmisja i sieci komputerowe 2

Zadanie z lokalnych sieci komputerowych. 1. Cel zajęć

Translacja adresów - NAT (Network Address Translation)

Serwer proxy Squid. Marcin Bieńkowski. Instytut Informatyki Uniwersytet Wrocławski

Firewalle do zastosowań domowych

dostępu do okręslonej usługi odbywa się na podstawie tego adresu dostaniemu inie uprawniony dostep

Sieci Komputerowe. Zadania warstwy sieciowej. Adres IP. Przydzielanie adresów IP. Adresacja logiczna Trasowanie (ang. routing)

Instrukcja programu Wireshark (wersja 1.8.3) w zakresie TCP/IP

ZADANIE.07 Różne (tryb tekstowy i graficzny) 2h

Puk, puk! Kto tam? Eeeee... Spadaj!

PODSTAWOWA KONFIGURACJA LINKSYS WRT300N

Sieci komputerowe - administracja

Połączenie LAN-LAN ISDN

Konfiguracja zapory sieciowej na routerze MikroTik

ZADANIE.07 Różne (tryb tekstowy i graficzny) 2h

3. Pamięć podręczna (dla istniejącego już połączenia pomiędzy źródłowym a docelowym IP użyj tego samego WAN)

ZADANIE.04 Cisco.&.Juniper Translacja adresów (NAT, PAT) 1,5h

Warsztaty z Sieci komputerowych Lista 5

Zarządzanie bezpieczeństwem w sieciach dr inż. Robert Banasiak, mgr inż. Rafał Jachowicz, Instytut Informatyki Stosowanej PŁ, 2013

Przekierowanie portów w routerze - podstawy

Strona1. Suse LINUX. Konfiguracja sieci

Ćwiczenie Rozwiązywanie problemów związanych z trasami statycznymi IPv4 oraz IPv6 Topologia

Ćwiczenie Konfiguracja i weryfikacja rozszerzonych list kontroli dostępu (ACL) Topologia

Firewalle, maskarady, proxy

VLAN 2 zadania. Uwagi. Przygotowanie. Zadanie 1 Klasyczny VLAN, komputery obsługują znaczniki 802.1Q. Zadanie 2 Ingress filtering (cz.

LABORATORIUM SIECI KOMPUTEROWYCH (compnet.et.put.poznan.pl)

Laboratorium 3 Sieci Komputerowe II Nazwisko Imię Data zajęd

DR INŻ. ROBERT WÓJCIK DR INŻ. JERZY DOMŻAŁ

Funkcje warstwy sieciowej. Podstawy wyznaczania tras. Dostarczenie pakietu od nadawcy od odbiorcy (RIP, IGRP, OSPF, EGP, BGP)

Laboratorium - Używanie wiersza poleceń systemu IOS do obsługi tablic adresów MAC w przełączniku

Sieci komputerowe i bazy danych

GPON Huawei HG8245/HG8245T/HG8245H

Ćwiczenie Rozwiązywanie problemów związanych z konfiguracją NAT)

Laboratorium - Przechwytywanie i badanie datagramów DNS w programie Wireshark

Transkrypt:

Sieci komputerowe Tadeusz Kobus, Maciej Kokociński Instytut Informatyki, Politechnika Poznańska

Translacja adresów w Linuksie Sieci Komputerowe, T. Kobus, M. Kokociński 2

Network Address Translation (NAT) Sieci Komputerowe, T. Kobus, M. Kokociński 3

Sieci Komputerowe, T. Kobus, M. Kokociński 4 Translacja źródłowa Source NAT (SNAT) Pozwala na dostęp do sieci z adresacją publiczną (np. Internet) urządzeniom z sieci z adresacją prywatną. Maskarada: - uproszczony tryb translacji źródłowej, - adres źródłowy jest automatycznie ustawiany na adres interfejsu, którym pakiet opuszcza router, - trzeba podać przynajmniej interfejs wyjściowy! # iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE Klasyczny SNAT: - wymaga podania adresu (lub adresów) na jakie ma być zmieniane źródło # iptables -t nat -A POSTROUTING -j SNAT --to-source 203.0.113.2

Sieci Komputerowe, T. Kobus, M. Kokociński 5 Translacja źródłowa Source NAT (SNAT) Problematyczny scenariusz: - dwa komputery z sieci prywatnej A (10.8.4.2) i A (10.8.4.3), - A i A chcą łączyć się z tym samym sewerem B (198.51.100.5), - A i A losują ten sam numer portu dla połączenia z B, np. 56000, - po SNAT na routerze, nie można byłoby okreslić, do którego komputera (A czy A ) należy skierować pakiety zwrotne od B. Rozwiązanie: - router dokonuje czasami (np. dla A ) zarówno translacji IP jak i portu źródłowego, - po SNAT na routerze, pakiety generowane przez A będą wyglądać tak, jakby były nadane przez router z adresu 203.0.113.2 i portu np. 56007.

Sieci Komputerowe, T. Kobus, M. Kokociński 6 Translacja docelowa Dest. NAT (DNAT) Pozwala na dostęp świata do urządzeń znajdujących się w sieci prywatnej. W szczególności pozwala na przekierowywanie portów między hostami. # iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j DNAT \ --to-destination 10.8.4.2 # iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 22 -j DNAT \ --to-destination 10.8.4.2:8008

Sieci Komputerowe, T. Kobus, M. Kokociński 7 SNAT vs DNAT SNAT i DNAT to zupełnie dwie niezależne rzeczy! - zarówno SNAT i DNAT dokonują translacji adresów źródłowych jak i adresów docelowych, ale - dla danego żądania i odpowiedzi: - SNAT: najpierw translacja adresów źródłowych w żądaniach, a później translacja adresów docelowych w odpowiedziach, - DNAT: najpierw translacja adresów docelowych w żądaniach, a później translacja adresów źródłowych w odpowiedziach, - może być SNAT bez DNAT (patrz punkt 2 następnego Zadania), - może być DNAT bez SNAT (patrz punkty 6-7 następnego Zadania).

Sieci Komputerowe, T. Kobus, M. Kokociński 8 Zadanie 1 (1) Do rozwiązania w rzędach, min. 3 komputery PC1 PC3. Konfiguracja podstawowa: - dwie oddzielne sieci prywatne PC1 PC2 (na p4p1) i PC2 PC3 (na p4p2) - PC1, PC3: dla pewności wyłączony interfejs em1, - PC2: ustawione przekazywanie pakietów: sysctl -w net.ipv4.conf.all.forwarding=1, - PC3: PC2 jako domyślna brama (adres interfejsu p4p2).

Sieci Komputerowe, T. Kobus, M. Kokociński 9 Zadanie 1 (2) 1. Ustaw na PC2 maskaradę adresów tak, żeby PC1 i PC3 mogły korzystać z Internetu (PC1 nie ma routingu domyślnego, więc w tym momencie Internet nie będzie działać). Uwaga na /etc/resolv.conf. 2. Sprawdź czy PC3 może łączyć się z PC1. Jeśli nie, napraw to używając SNAT. 3. Używając wiresharka zobacz jakie adresy ma ustawiony pakiet wysłany z PC1 do PC3 na każdym komputerze. 4. Zmień TTL pakietów przechodzących przez PC2 z PC3 do PC1 na 1, zaobserwuj (w wiresharku) co się dzieje. 5. Włącz na PC3 program nasłuchujący na wybranym porcie. 6. Skonfiguruj PC2 tak, by PC1 mógł połączyć się z programem działającym na PC3 używając adresu PC2. 7. Skonfiguruj PC2 tak, by PC1 mógł połączyć się z serwerem SSH działającym na PC3 używając adresu PC2 i portu innego niż 22. 8. Używając wiresharka zobacz jak modyfikowane są pakiety z powyższych poleceń.

Sieci Komputerowe, T. Kobus, M. Kokociński 10 Konfiguracja: Rozwiązanie przykładowe komendy PC1 PC2 PC3 em1: 150.254.32.66/26 p4p1: 192.168.1.1/24 -- 192.168.1.2/24 p4p2: 192.168.111.2/24 -- 192.168.111.1/24 PC2: # iptables -t nat -A POSTROUTING -o em1 -j MASQUERADE # iptables -t nat -A POSTROUTING -s 192.168.111.0/24 -d 192.168.1.0/24 \ -j SNAT --to-source 192.168.1.2 # iptables -t mangle -A POSTROUTING -s 192.168.111.0/24 -d 192.168.1.0/24 \ -j TTL --ttl-set 1 # iptables -t nat -A PREROUTING -p tcp --dport 74 -j DNAT \ --to-destination 192.168.111.1:74 # iptables -t nat -A PREROUTING -p tcp --dport 1234 -j DNAT \ --to-destination 192.168.111.1:22

Sieci Komputerowe, T. Kobus, M. Kokociński 11 Rozwiązanie aktualny stan tablicy nat # iptables -t nat -L Chain PREROUTING (policy ACCEPT) target prot opt source destination DNAT tcp -- anywhere anywhere tcp dpt:74 \ to 192.168.111.1:74 DNAT tcp -- anywhere anywhere tcp dpt:1234 \ to 192.168.111.1:22 Chain INPUT (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination Chain POSTROUTING (policy ACCEPT) target prot opt source destination MASQUERADE all -- anywhere anywhere SNAT all -- 192.168.111.0/24 192.168.1.0./24 to:192.168.1.2 # iptables -t mangle -L... Chain POSTROUTING (policy ACCEPT) target prot opt source destination TTL all -- 192.168.111.0./24 192.168.1.0./24 TTL set to 1

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres