http://arl.ginux.ua.br/virtual/mod/assignment/view.php...
MoodleARL SBR211 Tarefas Lista de Exerccios do Tpico 1 - Roteamento, Firewall e Acesso Remoto
Atualizar perfil
Instrues Iniciais:
A presente lista de exerccios dever ser resolvida utilizando-se da mquina virtual disponibilizada (Mquina Virtual para Uso na Disciplina), denominada, no enunciado desta lista, de mquina virtual 1 - MV1. Todos os arquivos de configurao e resultados de comandos tero como referncia para correo a distribuio e sua respectiva verso encontradas na mquina virtual citada anteriormente. recomendado, mas no obrigatrio, o uso de uma segunda mquina virtual, denominada, no enunciado desta lista, de mquina virtual 2 - MV2, para teste das configuraes, principalmente as relativas a roteamento, compartilhamento e NAT. Foi testado o uso e desempenho de duas mquinas virtuais simultneas em um notebook com configurao de hardware modesta, sendo: Athlon XP 2400 1,8 Ghz; 512 MB de RAM e SO Debian Etch Testing, com resultado satisfatrio. Cada mquina virtual foi configurada para 128 MB de RAM. A segunda mquina virtual utilizada pode ser de qualquer SO. Em ltima instncia a MV2 pode ser inclusive a mquina hospedeira, real, desde que o aluno a utilize como cliente da mquina virtual MV1. Caso queira duplicar a imagem da mquina virtual disponibilizada, para utilizar com mquina de teste, deve-se utilizar o seguinte comando para duplicar a imagem: VBoxManage clonevdi arquivo.vdi arquivo-clonado.vdi O Virtualbox no ir aceitar uma cpia simples dos arquivos. Nesta lista, a MV1 ir utilizar trs interfaces de rede (eth0, eth1, eth2). Voc pode conferir a existncia dessas interfaces usando o comando "ifconfig -a" dentro da MV1. Antes de iniciar a lista, configurem a rede da mquina virtual MV1, seja via DHCP, seja via atribuio de IP fixo. Para isso, usem a interface eth0 da MV1. As configuraes para roteamento iro utilizar especialmente as interfaces eth1 e eth2. Para configurar o acesso externo, caso no use DHCP, voc dever: configurar uma interface de rede (eth0) com ip pertencente a mesma rede da sua mquina hospedeira (real), e sua respectiva mscara; configurar uma rota padro para que essa interface de rede (eth0) possa acessar a internet; configurar o arquivo /etc/resolv.conf, inserindo o IP do seu servidor DNS A lista foi construda pensando na topologia apresentada na figura a seguir:
1 de 3
08-09-2012 18:41
http://arl.ginux.ua.br/virtual/mod/assignment/view.php...
Nesse caso: Rede da Filial: 192.168.64/255.255.255.0 GW-F: 192.168.1.4 SRV1: 192.168.1.2, Servidor Web, Squid e de DNS SRV2: 192.168.1.3, Servidor SAMBA, LDAP e de impresso Rede Interna: 10.20.30/255.255.255.0 MV2: 10.20.30.1/255.255.255.0 (para exemplo e testes apenas) MV1: IP de acesso internet (eth0), 192.168.1.1/255.255.255.0 (eth1 - rede dos servidores), 10.20.30.254/255.255.255.0 (eth2 - rede interna), alm de roteadora/firewall servidora Web, de E-mail e mantm o DNS do domnio local. No use nomes nas configuraes solicitadas, apenas endereos IPs.
1. Escreva o scriptrede-iproute.sh, que configura a rede interna na MV1 utilizando apenas o comando ip (do pacote iproute2) [10pts]:
Configure as interface eth1 e eth2 e atribua a elas os endereos e mscaras especficadas Configure uma rota esttica para a rede da filial, para que seja utilizado nesse roteamento a mquina GW-F => Envie tambm a sada dos comandos "ip addr show" e "ip route show"
3. Escreva o scriptnat.sh que configura a MV1 para fazer NAT para as mquinas da rede interna [10pts]:
2 de 3
08-09-2012 18:41
http://arl.ginux.ua.br/virtual/mod/assignment/view.php...
Configurar o mascaramento de pacotes NAT para que a rede interna acesse a rede externa (internet), para isso use obviamente a interface eth0 ou seu endereo Redirecionar todos os pacotes recebidos pela rede interna com destino a porta 80 do SRV2 para a porta 3128 do SRV1
4. Escreva o scriptrot-interno.sh que configura a MV1 para fazer roteamento interno [20pts]:
Mquinas da rede interna podero acessar a rede da filial e vice-versa Qualquer mquina da empresa poder acessar os servidores SRV1 e SRV2 via SSH Qualquer mquina da empresa poder fazer acesso Web (HTTP e HTTPS), Squid e DNS no servidor SRV1 Qualquer mquina da empresa poder fazer acesso CUPS, SAMBA e LDAP no servidor SRV2
5. Escreva o scriptinternet.sh que configura a MV1 para acesso externo a partir da rede local [20pts]:
Permite acesso das estaes de trabalho da empresa, e da prpria MV1, a qualquer mquina externa no seguintes servios: Ping, Web (HTTP e HTTPS), SSH, Rsync e Skype O servidores GW-F, SRV1 e SRV2 s podero acessar servios externos em Ping, Rsync e SSH
6. Escreva o scriptfirewall-mv1.sh, que configura o filtro de pacotes da MV1 para permitir que outras mquinas tenham acesso aos servios da prpria MV1 [20pts]:
Permite acesso remoto (qualquer mquina na internet - a WAN) e local (qualquer mquina da empresa - a LAN) ao SSH Permite acesso remoto e local ao DNS Permite acesso remoto e local aos servios Web (HTTP e HTTPS) Permite acesso local (qualquer mquina da empresa) aos servios de E-Mail (SMTP, SMTPS, POP3S, IMAP e IMAPS)
7. Questo Bnus - Escreva o scriptlimita.sh que configura a MV1 para evitar ataques de fora bruta [25ppts]:
Faa um log de toda tentativa de login aos servidores SSH locais (MV1, SRV1 e SRV2) Limite o nmero de tentativas de login aos servidores SSH locais, dificultando os ataques de fora bruta A lista ser enviada em arquivo pdf, com ttulo nomeDoAluno.pdf (ex: EderAndrade.pdf, ederAndrade.pdf, eder_andrade.pdf, etc. - importante que o arquivo tenha seu nome e sobrenome). Para informar as respostas, utilize como modelo o arquivo gabarito-srl-lista1.odt. Ele foi gerado no OpenOffice 2.4, usando fontes Libertine e Dejavu Sans Mono. Podem ser usadas outras fontes semelhantes (Times e Courier, por exemplo).
Disponvel a partir de: segunda, 3 setembro 2012, 15:00 Data de entrega: quarta, 12 setembro 2012, 23:55
Tema criado pela Equipe ARL, adpatado de Shaun Daubney (Newbury College).
3 de 3
08-09-2012 18:41