Вы находитесь на странице: 1из 3

SBR211: Tarefa: Lista de Exerccios do Tpico 1 - Rotea...

http://arl.ginux.ua.br/virtual/mod/assignment/view.php...

Curso Administrao em Redes Linux


Servios Bsicos de Redes em Linux - ARL211
ARL Ginux Publicaes Sbado, 08 Setembro de 2012

MoodleARL SBR211 Tarefas Lista de Exerccios do Tpico 1 - Roteamento, Firewall e Acesso Remoto

Orlando Rosa Junior


Meus cursos Sair

Atualizar perfil

Instrues Iniciais:
A presente lista de exerccios dever ser resolvida utilizando-se da mquina virtual disponibilizada (Mquina Virtual para Uso na Disciplina), denominada, no enunciado desta lista, de mquina virtual 1 - MV1. Todos os arquivos de configurao e resultados de comandos tero como referncia para correo a distribuio e sua respectiva verso encontradas na mquina virtual citada anteriormente. recomendado, mas no obrigatrio, o uso de uma segunda mquina virtual, denominada, no enunciado desta lista, de mquina virtual 2 - MV2, para teste das configuraes, principalmente as relativas a roteamento, compartilhamento e NAT. Foi testado o uso e desempenho de duas mquinas virtuais simultneas em um notebook com configurao de hardware modesta, sendo: Athlon XP 2400 1,8 Ghz; 512 MB de RAM e SO Debian Etch Testing, com resultado satisfatrio. Cada mquina virtual foi configurada para 128 MB de RAM. A segunda mquina virtual utilizada pode ser de qualquer SO. Em ltima instncia a MV2 pode ser inclusive a mquina hospedeira, real, desde que o aluno a utilize como cliente da mquina virtual MV1. Caso queira duplicar a imagem da mquina virtual disponibilizada, para utilizar com mquina de teste, deve-se utilizar o seguinte comando para duplicar a imagem: VBoxManage clonevdi arquivo.vdi arquivo-clonado.vdi O Virtualbox no ir aceitar uma cpia simples dos arquivos. Nesta lista, a MV1 ir utilizar trs interfaces de rede (eth0, eth1, eth2). Voc pode conferir a existncia dessas interfaces usando o comando "ifconfig -a" dentro da MV1. Antes de iniciar a lista, configurem a rede da mquina virtual MV1, seja via DHCP, seja via atribuio de IP fixo. Para isso, usem a interface eth0 da MV1. As configuraes para roteamento iro utilizar especialmente as interfaces eth1 e eth2. Para configurar o acesso externo, caso no use DHCP, voc dever: configurar uma interface de rede (eth0) com ip pertencente a mesma rede da sua mquina hospedeira (real), e sua respectiva mscara; configurar uma rota padro para que essa interface de rede (eth0) possa acessar a internet; configurar o arquivo /etc/resolv.conf, inserindo o IP do seu servidor DNS A lista foi construda pensando na topologia apresentada na figura a seguir:

1 de 3

08-09-2012 18:41

SBR211: Tarefa: Lista de Exerccios do Tpico 1 - Rotea...

http://arl.ginux.ua.br/virtual/mod/assignment/view.php...

Nesse caso: Rede da Filial: 192.168.64/255.255.255.0 GW-F: 192.168.1.4 SRV1: 192.168.1.2, Servidor Web, Squid e de DNS SRV2: 192.168.1.3, Servidor SAMBA, LDAP e de impresso Rede Interna: 10.20.30/255.255.255.0 MV2: 10.20.30.1/255.255.255.0 (para exemplo e testes apenas) MV1: IP de acesso internet (eth0), 192.168.1.1/255.255.255.0 (eth1 - rede dos servidores), 10.20.30.254/255.255.255.0 (eth2 - rede interna), alm de roteadora/firewall servidora Web, de E-mail e mantm o DNS do domnio local. No use nomes nas configuraes solicitadas, apenas endereos IPs.

1. Escreva o scriptrede-iproute.sh, que configura a rede interna na MV1 utilizando apenas o comando ip (do pacote iproute2) [10pts]:
Configure as interface eth1 e eth2 e atribua a elas os endereos e mscaras especficadas Configure uma rota esttica para a rede da filial, para que seja utilizado nesse roteamento a mquina GW-F => Envie tambm a sada dos comandos "ip addr show" e "ip route show"

2. Escreva o scriptprepara.sh, que prepara a MV1 como roteador/gateway e firewall [20pts]:


Ativa roteamento no kernel, usando o comando sysctl Carrega todos os mdulos do kernel que forem necessrios para efetiva implementao desta lista Ressetar as regras de firewall que estejam ativas Configura as politicas padres da forma mais restritiva possvel Permitir pacotes em loopback; Permitir a entrada de pacotes de conexes originadas pela prpria MV-1 Permite a entrada e o encaminhamento de pacotes vindos ou relacionados de conexes j estabelecidadas

3. Escreva o scriptnat.sh que configura a MV1 para fazer NAT para as mquinas da rede interna [10pts]:

2 de 3

08-09-2012 18:41

SBR211: Tarefa: Lista de Exerccios do Tpico 1 - Rotea...

http://arl.ginux.ua.br/virtual/mod/assignment/view.php...

Configurar o mascaramento de pacotes NAT para que a rede interna acesse a rede externa (internet), para isso use obviamente a interface eth0 ou seu endereo Redirecionar todos os pacotes recebidos pela rede interna com destino a porta 80 do SRV2 para a porta 3128 do SRV1

4. Escreva o scriptrot-interno.sh que configura a MV1 para fazer roteamento interno [20pts]:
Mquinas da rede interna podero acessar a rede da filial e vice-versa Qualquer mquina da empresa poder acessar os servidores SRV1 e SRV2 via SSH Qualquer mquina da empresa poder fazer acesso Web (HTTP e HTTPS), Squid e DNS no servidor SRV1 Qualquer mquina da empresa poder fazer acesso CUPS, SAMBA e LDAP no servidor SRV2

5. Escreva o scriptinternet.sh que configura a MV1 para acesso externo a partir da rede local [20pts]:
Permite acesso das estaes de trabalho da empresa, e da prpria MV1, a qualquer mquina externa no seguintes servios: Ping, Web (HTTP e HTTPS), SSH, Rsync e Skype O servidores GW-F, SRV1 e SRV2 s podero acessar servios externos em Ping, Rsync e SSH

6. Escreva o scriptfirewall-mv1.sh, que configura o filtro de pacotes da MV1 para permitir que outras mquinas tenham acesso aos servios da prpria MV1 [20pts]:
Permite acesso remoto (qualquer mquina na internet - a WAN) e local (qualquer mquina da empresa - a LAN) ao SSH Permite acesso remoto e local ao DNS Permite acesso remoto e local aos servios Web (HTTP e HTTPS) Permite acesso local (qualquer mquina da empresa) aos servios de E-Mail (SMTP, SMTPS, POP3S, IMAP e IMAPS)

7. Questo Bnus - Escreva o scriptlimita.sh que configura a MV1 para evitar ataques de fora bruta [25ppts]:
Faa um log de toda tentativa de login aos servidores SSH locais (MV1, SRV1 e SRV2) Limite o nmero de tentativas de login aos servidores SSH locais, dificultando os ataques de fora bruta A lista ser enviada em arquivo pdf, com ttulo nomeDoAluno.pdf (ex: EderAndrade.pdf, ederAndrade.pdf, eder_andrade.pdf, etc. - importante que o arquivo tenha seu nome e sobrenome). Para informar as respostas, utilize como modelo o arquivo gabarito-srl-lista1.odt. Ele foi gerado no OpenOffice 2.4, usando fontes Libertine e Dejavu Sans Mono. Podem ser usadas outras fontes semelhantes (Times e Courier, por exemplo).

Disponvel a partir de: segunda, 3 setembro 2012, 15:00 Data de entrega: quarta, 12 setembro 2012, 23:55

Enviar um arquivo (Tamanho mximo: 2Mb)

Selecionar arquivo Enviar arquivo selecionado


Voc acessou como Orlando Rosa Junior (Sair)

Tema criado pela Equipe ARL, adpatado de Shaun Daubney (Newbury College).

3 de 3

08-09-2012 18:41