ASIX/M11/UF3/EX2

De Lordwektabyte Wiki
Salta a la navegació Salta a la cerca

Enunciat

https://gitlab.com/pautome/m11-asix-pub/blob/master/UF3-Firewall/exercicis/firewall-NAT.md Tallafocs amb NAT i reenviament de ports (DNAT). Control d’estat de les connexions.

  • Configura un equip virtual amb tallafocs IPTables. Aquest tallafocs serà un equip virtual Ubuntu Server amb dues interfícies.
  • La primera amb interfície pont que serà la targeta WAN externa (a la xarxa de l’aula).
  • La segona, amb interfície interna, serà la targeta a la xarxa LAN interna.
  • Determina quines adreces faràs servir a la xarxa interna (proposta, xarxa 192.168.1.0). Recorda activar l’enrutament a l’equip firewall.*
  • Prepara dos equips virtuals, un amb Ubuntu Desktop i un altre amb Ubuntu Server, tots dos amb interfície de xarxa interna. Instal·la un servidor web i un servidor SSH a l’Ubuntu Server intern.
  • Es vol que la interfície externa del firewall faci NAT de manera que farem servir només una adreça “pública” (en realitat és una adreça de l'aula).

Objectius

  1. Tots els equips de la xarxa interna han de poder accedir a Internet mitjançant el firewall que enmascararà les seves adreces IP.
  2. No s’acceptaran paquets que vinguin de fora i no hi hagi una petició prèvia des dels hosts de la xarxa interna.
  3. El firewall tindrà instal·lat el servei SSH però al port 2222 i s'hi podrà accedir des de fora. Com a excepció, s’acceptaran els paquets que arribin al firewall al port 2200 i al 80 i 443 que seran reenviats (DNAT) als serveis SSH (al port 22) i WEB (al port 80 i 443), que tenim a l’equip Ubuntu Server intern.
  4. Cal guardar als logs cada petició que es faci des de l’equip Desktop.

Proves

  1. Comprova que quan fas un scanneig de ports des de la màquina física al firewall només estan oberts els ports dels serveis actius.
  2. Comprova que des del client Ubuntu Desktop i el servidor es pot accedir a Internet (obre un navegador i fes ping al teu equip físic, recordeu que existeixen navegadors en mode consola, com ara el Lynx. També podeu fer servir la comanda wget o curl).
  3. Comprova al teu equip físic que les peticions que genera un equip de la xarxa local són vistes com a peticions del firewall, per exemple amb wireshark (amb IP d’origen la del firewall).
  4. Comprova que no es pot fer ping ni accedir als equips de la xarxa interna posant l’adreça del servidor de la xarxa local, tot i que haguem posat a la taula de rutes del nostre equip físic la informació per arribar a la xarxa local.

Procediment

Objectius

Primer

Segon

Tercer

Quart

Proves

Primera

Segona

Tercera

Quarta

Obtingut de «http://wiki.lordwektabyte.cat/index.php?title=ASIX/M11/UF3/EX2&oldid=5142»