Trabalho 3 - DHCP e NAT

Teoria/HowTo/Referências

• DHCP - Dynamic Host Configuration Protocol
  • Linux
    • ISC DHCP
    • man dhcpd.conf
    • man dhcp-options
    • man leases
    • DHCP mini-HowTo
  • Cisco
    • DHCP Overview
    • Configuring the Cisco IOS DHCP Server
• NAT - Network Address Translation
  • RFCs
    • RFC 3022 - Traditional IP Network Address Translator (Traditional NAT)
    • RFC 1918 - Address Allocation for Private Internets
    • RFC 2993 - Architectural Implications of NAT Allocation for Private Internets
  • Linux
    • NAT HowTo com netfilter (iptables)
    • Masquerading
    • Flush das iptables (limpar todas as regras de todas as chains): iptables -F
  • Cisco
    • Cisco IOS Network Address Translation Overview
    • Configuring Network Address Translation: Getting Started

Notas prévias

• IMPORTANTE: Antes de começar, em cada um dos PCs abra uma shell de root e crie o ficheiro /etc/dhcp/dhclient.conf com uma linha contendo  send dhcp-client-identifier = hardware; 
• Pode utilizar este ficheiro de topologia no GNS3, em que eth0→enp0s10 e eth1→enp1s7.
  NOTA: Se as interfaces a usar na sua máquina forem outras, poderá partir deste ficheiro de topologia e substituir as ocorrências de eth0 e eth1 usando o comando sed: por exemplo, para substituir eth0 por enp0s10 seria sed -e 's/eth0/enp0s10/g' -i trab3.gns3. Deve indicar no relatório a correspondência entre as interfaces eth0 e eth1 e as que usou.
• Para a rede emulada funcionar correctamente, o terminal 1 não deve ter nenhum endereço IP atribuído à interface eth0 (enp0s10). Pode fazer isto desactivando a interface, mudando no ficheiro de configuração o BOOTPROTO para none e voltando a activar a interface (ou então usando ifconfig interface 0.0.0.0).
• Ao fechar o GNS3, a interface tap0 é “destruída”, sendo criada de novo com um endereço MAC diferente quando o voltar a correr. Para evitar ter que reconfigurar no router Cisco a entrada manual no DHCP para o Terminal 1, da primeira vez que corre a emulação da rede deve verificar que endereço MAC foi atribuído à tap0 e fixá-lo adicionando ao ficheiro /etc/sysconfig/network-scripts/ifcfg-tap0 a linha  MACADDR="<mac_da_tap0>" .
• IMPORTANTE: Por lapso, as máquinas do laboratório não têm instalados servidores de DHCP e de FTP.
  Para este trabalho precisará de instalar nos terminais 1 e 2 o servidor de FTP usando (como root) o comando  dnf install proftpd 
  Precisará também de instalar no Router Linux o servidor de DHCP usando (como root) o comando  dnf install dhcp-server 

Objectivo

Montagem

• Router Cisco (R0)
  • DHCP
    • Pool de endereços a atribuir dinamicamente: 172.16.0.50 a 172.16.0.150
    • Endereço 172.16.0.11 reservado para o terminal 1
    • Além do endereço IP, deverão ser configurados por DHCP
      • Servidor de DNS (usar o da rede do laboratório)
      • Default gateway
      • Máscara de rede
      • Nome do domínio
    • Configure a duração das leases, que deverá ser sempre de 1 hora.
  • NAT
    • Configurar overloading (PAT)
    • Redireccionar (port forwarding) a porta 8022 da interface exterior (f1/0) para a porta 22 (ssh) do terminal 1
• Router Linux
  • DHCP
    • Pool de endereços a atribuir dinamicamente: 10.0.0.50 a 10.0.0.150
    • Endereço 10.0.0.22 reservado para o terminal 2
    • Além do endereço IP, deverão ser configurados por DHCP
      • Servidor de DNS (usar o da rede do laboratório)
      • Default gateway
      • Máscara de rede
      • Nome do domínio
    • Configure a duração das leases (padrão=1h e máxima=2h).
  • NAT
    • Configure as iptables para masquerading, isto é, source NAT usando o endereço (dinâmico) da interface eth0
  • Deve ter a correr o servidor de SSH.
• Terminais
  • Devem ser configurados por DHCP
  • Devem ter a correr os servidores de SSH e de FTP

Entregáveis

• dump da configuração das máquinas linux (router e terminais), devidamente identificadas
  • tabela de encaminhamento (route -n)
  • configuração IP (ifconfig)
  • ficheiro resolv.conf
  • fragmentos de ficheiros de configuração pedidos nas questões indicadas como confRes
  • ficheiro dhcpd.conf (apenas no Router Linux)
  • configuração iptables do Router Linux (iptables-save)
• dump da configuração do router Cisco
  • show running-config
  • show ip route
  • show ip nat translations
  • show ip dhcp bindings
• Um relatório em formato PDF contendo
  • respostas às questões indicadas abaixo (a necessidade de resposta textual é indicada com texRes) Não são aceitáveis respostas iguais em diferentes grupos. Os trabalhos são para ser feitos exclusivamente pelos elementos do grupo.
  • comandos ou fragmentos de ficheiros de configuração pedidos nas questões indicadas como confRes
  • output de comandos como o ping ou o traceroute nas questões indicadas como outRes (em texto com fonte de tamanho fixo, para melhor visibilidade)
  • screenshots com o resultado da captura de pacotes nas questões indicadas como capRes; salvo indicação explícita, as capturas são feitas com o wireshark
    • deverão ser claramente visíveis todos os campos relevantes dos pacotes
    • deve haver sempre uma indicação clara de que pacotes (entre os capturados) são relevantes para a questão, ou então usado um filtro para mostrar apenas esses.

Nota: em qualquer dump ou captura deve indicar sempre o comando; nas capturas deve indicar sempre os filtros que eventualmente tenha utilizado.

Questões/Traces/Análise

1. Inicie o trabalho com o terminal 2 na rede da esquerda (172.16.0.0/24).
   1. Desactive (ifdown) a interface tap0 do terminal 1. Limpe a cache do dhclient com  rm -f /var/lib/dhclient/*  Inicie uma captura wireshark na interface f1/1 de R0 e volte a activar (ifup) a interface tap0 do terminal 1. Repita o procedimento para a interface eth0 do terminal 2. As capturas devem mostrar o conteúdo das mensagens. (2 × capRes)
   2. Apenas a partir das mensagens capturadas é possível saber qual dos dois tem um endereço estático? Justifique. (texRes)
2. Mova agora o terminal 2 para a rede da direita (10.0.0.0/24) e reinicie novamente o serviço de rede. No router R0 active o debugging do NAT com o comando  debug ip nat detailed . No terminal 1, faça download deste ficheiro (de preferência, use o wget ou o curl). Com base nas linhas de output de R0, explique o trabalho do NAT (outRes + texRes).
3. Do terminal 1, faça um ssh para a interface eth0 do Router Linux. Nessa shell, corra o comando  while true; do echo hello; sleep 1; done  para que o servidor ssh vá gerando pacotes. Explique o que acontece quando usa o comando clear ip nat translation * e comente a afirmação Quando usamos NAT com tradução de portas, os fluxos de pacotes passam de connectionless para connection-oriented. (texRes)
   NOTAS:
   (1) Eventualmente, pode ter que correr mais que uma vez o comando para limpar os mapeamentos NAT, pois o que acontece depende da ordem dos pacotes de entrada e saída.
   (2) Para perceber melhor o que se passa, pode fazer capturas nas duas interfaces de R0.
   (3) Se não conseguir entrar com password, altere no servidor ssh (router Linux) o ficheiro /etc/ssh/sshd_config modificando a linha PermitRootLogin without-password para PermitRootLogin yes e depois reinicie o serviço sshd com systemctl restart sshd.service.
4. Faça agora um ssh do router linux para o terminal 1.
   1. Indique o comando utilizado. (texRes)
   2. Identifique uma situação em que é necessário fazer port forwarding usando uma porta não-standard. (texRes)
5. No Terminal 1, desligue a emulação de rede no GNS3 e reconfigure a interface eth0 (enp0s10) para obter endereço por DHCP da rede do laboratório. Certifique-se de que o servidor de ftp está a correr nos Terminais 1 e 2 e que não está a correr no Router Linux (use os comandos netstat -ant para ver se tem algum processo na porta 21 e systemctl start|stop proftpd.service para activar/desactivar o servidor FTP). Ponha o wireshark a capturar em todas as interfaces do Router Linux. Em todas as alíneas desta pergunta deve correr o ftp em modo activo (use o cliente ncftp e, dentro deste, corra o comando set passive off, ou então use o cliente ftp e, dentro deste, corra o comando passive no). Para melhor compreender o que se passa, atente aos endereços IP dos pacotes capturados e procure nesses pacotes os comandos PORT (ou EPRT) do FTP.
   1. Do terminal 1, tente fazer um ftp para o terminal 2 e fazer download (get) de um ficheiro. Justifique o insucesso deste procedimento. (capRes + texRes)
   2. No router Linux, redireccione (port forwarding) a porta 21 da interface exterior (eth0) para a porta 21 (ftp) do terminal 2. (confRes)
   3. Tente novamente fazer o ftp e transferir um ficheiro e comente os resultados. (capRes + texRes)
      NOTA: Se obtiver erro de permissão, corra o comando  setenforce 0  em ambas as máquinas e volte a tentar.
   4. Tente agora fazer um ftp do terminal 2 para o terminal 1 e fazer download de um ficheiro. Comente os resultados. (capRes + texRes)
   5. No router Linux, instale o módulo de suporte NAT para ftp usando o comando modprobe nf_nat_ftp. Tente novamente o ftp da alínea anterior e comente os resultados tendo em conta o que acontece na conexão de controlo e na de dados. (capRes + texRes)