Linuxi võrgutamine IV

Transcription

1 Linuxi võrgutamine IV ETTEVALMISTUS Selle harjutuse tegemiseks vajalik topolooga on veidi erinev harjutsute II ja III omast, ole liideste seadistamisel tähelepanelik! Kõigepealt tuleb ise luua üks "NAT network", selleks ava Virtualboxis File > Preferences. Vali paremalt Add New NAT network (aktsepteeri vaikeseadistused) Selle harjutuse sooritamiseks on vaja importida.ova 3 korda. Impordil pane "linnuke" kasti " reinitialize MAC addresses... Ettevalmistus. Seadista VMid järgnevalt: Ole tähelepanelik, kui seadete juures eksid, siis asjad käima ei lähe. 1. Impordi järjekorras saavad arvutid nimed, _1 ja Sx_ Lisa võrguadapter Adapter1 NAT Network, name NatNetwork (see mille me just tegime) 2. Lisa võrguadapter Adapter2 "Internal network" intnet1 (lisa "1" adapteri nimele) 3. Igaks juhuks uuenda mac aadress "noolekestega" nupp MAC aadressi kasti taga 3. _1(C) 1. Nimeta masin ümber _C (parema selguse huvides, see masin etendab välisvõrgus asuva kliendi rolli. 2. Lisa võrguadapter Adapter1 NAT Network, name NatNetwork (see mille me just tegime) 3. Igaks juhuks uuenda mac aadress "noolekestega" nupp MAC aadressi kasti taga 4. _2(1) 1. Kui tegid eelmisele masinale rename enne kolmandat importi saab see kohe õige nime, kui ei, nimeta ümber _1 2. Lisa võrguadapter Adapter1 "Internal network" intnet1 (lisa "1" adapteri nimele) 3. Igaks juhuks uuenda mac aadress "noolekestega" nupp MAC aadressi kasti taga Lõpptulemuseks peaks olema 3 virtuaalmasinat järgmise topoloogiaga 1. etendab meie topos marsruuteri rolli, tal on üks liides välisvõrgus ja teine liides sisevõrgus 2. _C etendab välisvõrgus asuva arvuti rolli 3. _1 etendab sisevõrgus oleva serveri ja kliendi rolli. NB! Kogu harjutuses sisalduvad NatNetwork IP-d on toodud eeldusel, et käivitatakse ja seadistatakse kõigepealt ja saab DHCP poolist ESIMESE vaba IP. Kui selle vastu eksisid, pead ise harjutuse juhendit korrigeerima :)

2 Käivita virtuaalarvuti ja soorita järgnevad tegevused: /etc/network/interfaces peab välja nägema selline allow-hotplug eth0 auto eth0 iface eth0 inet dhcp auto eth1 iface eth1 inet static address netmask (ära unusta võrguteenuse restarti!) Eemalda network-manager service network-manager stop apt-get remove network-manager Lülita sisse marsruutimise tugi sysctl -w net.ipv4.ip_forward=1 Paigalda tshark apt-get update apt-get install tshark _C Veendu, et õnnestub pingida masina välise liidese IP aadressi Paigalda tshark apt-get update apt-get install tshark _1 Käivita virtuaalarvuti ja soorita järgnevad tegevused: /etc/network/interfaces peab välja nägema selline allow-hotplug eth0 auto eth0 iface eth0 inet static address netmask gateway (ära unusta võrguteenuse restarti!) Eemalda network-manager service network-manager stop apt-get remove network-manager Lisa nimeserver echo nameserver > /etc/resolv.conf Veendu, et õnnestub pingida marsruuteri sisemist liidest Veendu, et marsruutimine töötab. Pane pingima VM-i _C ( ) VM-is _C käivita tshark liidesel eth0. Pead nägema saabuvaid ping pakette. Ühtlasi näed, et vastused suunab _C tagasi oma vaikelüüsi kaudu, sest tema ei tea, kus võrk asub. Meenutame: alati on vaja ka routet tagasi. (NB! Ära seda tee, see pole see harjutus)

3 IPTABLES _C Veendu, et saad luua ssh ühenduse masinasse Kõigepealt turvame natuke oma tulemüüri ennast. iptables -L Chain INPUT (policy ACCEPT) target prot opt source destination Chain FORWARD (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination Selline pilt näitab, et mingeid reegleid hetkel pole kehtestatud. Lisame reegli, mis keelab tulemüüri välisele liidesele ühendumise iptables -A INPUT -i eth0 -j REJECT See reegel keelab kõik välise liidese kaudu sisenevad paketid, mis on mõeldud marsruuterile endale. _C Veendu, et tõepoolest enam ühendust luua ei õnnestu. Veateade connection refused. Ühtlasi võid _1 pealt järele vaadata, et seal see reegel ei rakendu, kuna on seotud teise liidesega ja ssh ühendust on endiselt võimalik luua. Kuna nii paranoiline ei maksa olla, siis lubame ainult ssh, kõik muud teenused aga keelame. (Päris elus lubame muidugi ssh mittestandardse pordi peal, soovitavalt ainult kindlatele IP aadressidele või kasutame üldse VPNi!) Seega võiks siis ssh kuidagi lubada. iptables -A INPUT -i eth0 -p tcp dport 22 -j ACCEPT Lubame sissetulevad ühendused tcp porti 22 (ssh) Testime. Ei õnnestu, eks? Tuletame meelde loengus räägitut. Oluline on reeglite JÄRJEKORD. Iptables töötleb reegleid esimese vastavuseni ja siis katkestab. Vaatame oma konffile otsa. Palume ühtlasi näidata reanumbreid. iptables -L INPUT -n --line-numbers Näeme, et meil on täiesti õige konff, ainult reanumbrid on valepidi. Kui lubav reegel oleks enne keelavat, siis oleks kõik korras. Ega meil ei jäägi muud üle, kui keelav reegel kustutada ja uuesti teha iptables -D INPUT 1 Kustutame (-D delete) reegli nr. 1 (keelav reegel) ja teeme selle uuesti, seekord vähe mõistlikumalt. Kuna tegemist on sisuliselt vaikereegliga (kõik millest ma aru ei saa st. Mis ei ole eksklusiivselt lubatud, on keelatud), siis võiks selle pista ahela lõppu. iptables -I INPUT 2 -i eth0 -j REJECT Erinevus -I ja -A vahel on selles, et -A lisab reegli ahela lõppu, -I aga sellise reanumbriga nagu me

4 määrame. Kui numbrit mitte määrata lisatakse reegel ahela algusesse. Samaväärse tulemuse oleks me saavutanud ka siis kui oleks sõnunud iptables -I INPUT -i eth0 -p tcp --dport 22 -j ACCEPT ja pärast dubleeriva, mittematchiva reegli kustutanud. Veendu, et ssh töötab aga näiteks rpc (port 111) on endiselt kättesaamatu. Testimiseks sobib vana hea: telnet masinas _C Kuna ICMP keelamine on väga halb praktika, siis lubame selle ka. Seekord juba teame, et reegel tuleb sokutada ettepoole keelavat reeglit Proovime ta sokutada meie kahe olemasoleva reegli VAHELE iptables -I INPUT 2 -p icmp -m icmp --icmp-type 8 -j ACCEPT Vaata järele, kas _C ping hakkas tööle. Teeme oma elu lihtsamaks iptables-save > /etc/iptables Vaatame tekkinud failile otsa nano /etc/iptables # Generated by iptables-save v on Tue Nov 20 20:41: *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [176:20762] -A INPUT -i eth0 -p tcp -m tcp --dport 22 -j ACCEPT -A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT -A INPUT -i eth0 -j REJECT --reject-with icmp-port-unreachable COMMIT # Completed on Tue Nov 20 20:41: Näeme, et kõigil kolmel ahelal on vaikereegel ACCEPT ja ühtlasi on failis meie loodud reeglid. Lisame käsurealt uuesti snat reegli iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE Mida see teeb. Tabelisse nat lisatakse kirje, et pärast marsruutimisotsuse tegemist tuleb pakettidele, mis on määratud väljuma liidese eth0 kaudu tuleb sooritada aadressi transleerimine. Masquerade ütleb, et selleks tuleb kasutada liidese eth0 aadressi. Kuna eth0 saab aadressi DHCP käest, siis tuleb seda just nii teha. Miks see just POSTROUTING ahelas on. Sest enne marsruutimisotsust me ei tea, mis liidese kaudu pakett peab väljuma! Tee uuesti iptables-save ja vaata failile otsa. Mida näed. Iptables save faili süntaks on veidi teistsugune, kui käsureasüntaks. (Muide, osad administraatorid keelduvad kasutamast iptables-save käsku ja eelistavad shelli skripti iptablese käsureasüntaksiga! ) Veendu, et sinu snat reegel töötab. Masinast _1 peab õige seadistuse korral saama nii Internetti, kui vastuse pingile masinalt _C Salvestamisest üksi on vähe tolku, vaja on ka reeglid taastada. Selleks on käsk iptables-restore, mille sisendiks tuleb suunata see fail kuhu oma reeglid salvestasid- Meie sooviks seda teha automaatselt, masina restardil, selleks

5 nano /etc/rc.local Ja sinna sisse enne exit 0 rida sõnume /sbin/sysctl -w net.ipv4.ip_forward=1 /sbin/iptables-restore < /etc/iptables (Lülita sisse marsruutimine ja taasta iptables seadistused alglaadimisel) Salvesta, tee reboot ja veendu, et sinu seni tehtud iptablese seadistused säilisid. Hakkame nüüd kägistama ka FORWARD ahelat. See on see ahel, mis käitleb pakette, mis lähevad läbi marsruuteri. Seekord teeme teismoodi. Pane _1 pingima mõnda välist hosti (neti.ee) Kuna me oma sisevõrgu hingeelu ei taha üldse kräkkeritele näidata, siis kehtsestame edastamisahelas reegli, et pakett dropitakse (ja pahalane jääb TCP timeouti ootama). Seekord paneme selle hoopis vaikereegliks iptables -P FORWARD DROP _1 masinal kadus selle käsu sisestamise peale Internetiühendus. Miks? Tema saab seest välja, aga vastusepakette ei lubata tagasi. Seega peame tegema veel ühe, snat toimimise jaoks spetsiifilise reegli, mis lubab meile, et VASTUSED seest algatatud ühendustele on lubatud: iptables -I FORWARD -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT Kas ühendus taastus? Ei! Uuri iseseisvalt tsharkiga, kus pakett kaotsi läheb! Tegelikult on meie probleem selles, et DEFAULT policy töötab mõlemat pidi. Ka sisevõrgu vastuseid ei lubata läbi ja seega tuleb lisada veel üks reegel. iptables -I FORWARD -i eth1 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT Erisus on siin selles, et seest välja lubame me mitte ainult paketi vastuseid ja ja kokku lepitud ühendusi, vaid ka UUTE ühenduste algtamist. See on üks iptablese eripärasid, mistõttu praktikas eelistavad adminnid jätta default policy accept ja lõpetada konkreetse liidesega seotud ahela keelava reegliga (drop välistele ja reject sisemistele liidestele) Kui kõik hakkas tööle, ära unusta teha iptables-save > /etc/iptables dnat/pat _1 Paigalda veebiteenus apt-get update apt-get install nginx Lubame väljast sisse aadressi transleeriminse, ehk dnat iptables -t nat -I PREROUTING -p tcp --dport 80 -j DNAT --to-destination NAT tabelisse lisatakse uus reegel, et pöördumised, mis väljaspoolt laekuvad 80 porti, (dport) tuleb

6 DNAT (sihtaadressi transleerimise) suunata sisevõrku aadressile Miks see on PREROUTING ahelas? Sest aadress tuleb transleerida ENNE, kui teine kerneli moodul teeb marsruutimisotsuse. Kas sellest piisab? Proovi järele, kas wget _C masinast marsruuteri pihta, saab mingi vastuse. Ei! Meil on ju karm tulemüürireegel, mis dropib igasuguse väljaspoolt algatatud liikluse. Seega, peame FORWARD ahela reeglitesse lisama ka lubava reegli. iptables -I FORWARD -d p tcp --dport 80 -j ACCEPT Paneme tähele, et kuna see pakett on juba preroutingust ja aadressi transleerimisest läbi käinud, siis lubama peame juba sisevõrguaadressi. Sellega on põhilised iptablese funktsioonid kaetud. Iseseisev töö Lisa NatNetworki veel üks VM, vaata mis IP ta saab (jah, päris keskkondades, päris nii ei tehta) seadista iptables sedasi, et lisatud VM ei saa ligi dnatitud veebiteenusele seadista iptables sedasi, et välise liidese port 8080 on samuti suunatud _1 port 80 peale Luba uuele Vmile IP põhine ligipääs dnatitud teenusele, pordist 8080 Suuna port 2222 sisevõrku _1 pordile 22 (ssh) Luba ainult _C pordi 2222 kaudu teha ssh-d masinasse _1 Saada oma iptables-save fail tulemustega õppejõu mailile (2p)