Universidad de Carabobo

Facultad de Ciencias y Tecnologa

Departamento de Computacin
Redes de Laboratorio II

PROYECTO DE LABORATORIO

Carmelo Lpez
C.I: 19.990.231
Julio, 2016
 Tabla de Contenidos

Objetivos del proyecto .....................................................................................................................1

Captulo 1: Enrutamiento .................................................................................................................2

Segmentacin .......................................................................................................................2
Configuracin de Routers ....................................................................................................2
Asignacin de IP ..................................................................................................................3
Instalacin del Servidor DHCP ............................................................................................6
Configuracin de Rutas ........................................................................................................7
Configuracin de Estaciones de Trabajo..............................................................................8
Representacin Grfica de la Topologa ..............................................................................9

Captulo 2: Conexin con la Red Universitaria .............................................................................10

Instalacin de NAT ............................................................................................................10
Instalacin de DNS ............................................................................................................11
Instalacin de SSH .............................................................................................................13

Captulo 3: Monitoreo y Seguridad en Red ...................................................................................14

Instalacin de Proxy ...........................................................................................................14
Instalacin de Monitor de Red ...........................................................................................16
Restringir trfico de LAN R1 a LAN R2 ...........................................................................17

Referencias .....................................................................................................................................18
 1

Objetivos del Proyecto

Se pide la instalacin de una red dentro del laboratorio que cumpla con los siguientes
requisitos:

1. Dado el segmento 172.25.0.0/21, realice la divisin en subredes segn lo especificado:

Red de 4 host (R1-R2-R3)

Red de 2 host (R2-R3)
LAN de 200 host (R2)
LAN de 200 host (R3)
LAN de 16 host
Cada router tendr asignado las primeras direcciones del rango asignado segn su
interfaz.
Cada PC tendr asignado las ltimas direcciones de red del rango segn su interfaz

2. En R1 debe configurarse una router NAT y proxy transparente hacia la red universitaria.
3. En R2 habilitar un servidor DHCP para la LAN interna.
4. En R3 la LAN debe ser asignacin esttica.
5. La LAN de R1 no puede tener acceso a la LAN de R2.
6. El servidor Monitor debe ser visto desde la LAN interna y la Red Universitaria.
7. El servicio SSH debe poder permitirse el trfico interno y externo.
8. Configurar en el servidor Monitor el cual pueda monitorear los servicios internos de la
red (monitor.facyt.uc.edu.ve). Siendo esta aplicacin la de su preferencia. Igualmente
instalar un servidor SSH y DNS interno.
9. El servidor DNS Cache debe tener la zona redesII.facyt.uc.edu.ve
10. En R2 configurar la red interna con un servidor DHCP para los dispositivos de la red
local.
 2

Captulo 1

Enrutamiento

Segmentacin
Dado el segmento 127.25.0.0/21, se dividi de la siguiente manera:

1. LAN de 200 host (R2) 1. 172.25.0.0 / 24

2. LAN de 200 host (R3) 2. 172.25.1.0 / 24
3. LAN de 16 host 3. 172.25.2.0 / 27
4. Red de 4 host (R1-R2-R3) 4. 172.25.2.32 / 29
5. Red de 2 host (R2-R3) 5. 172.25.2.40 / 30

Configuracin de Routers

Para la configuracin de los equipos que sern routers, se procedi a habilitar el

forwarding (reenvo) sobre los mismos, modificando en el archivo /etc/sysctl.conf la
siguiente lnea:

net.ipv4.if_forward=1

Verificamos que est igualada a 1 para que los cambios sean permanentes, luego para que
sean tomados estos cambios corremos la siguiente lnea de comandos:

systcl p /etc/sysctl.conf

Y procedemos a reiniciar el servicio de red con el comando:

/etc/init.d/networking restart

Adicionalmente, se modific el nombre de cada router para que se puedan indentificar los
mismos como R1, R2 y R3, modificando el archivo /etc/host de cada equipo:

172.25.2.33 R1
172.25.2.34 R2
172.25.2.35 R3
 3

Asignacin De IP
El siguiente paso es asignar las IP a los router, para lo cual debemos modificar el archivo
ubicado en la ruta:

/etc/network/interfaces

Conocemos que los equipos poseen 3 tarjetas de red, que debemos identificar para poder
configurar las direcciones IP segn la red a la que vayamos a conectarlas.

Para el router R1 se configur de la siguiente manera:

auto lo
iface lo init loop back

auto eth2 # Interfaz para red de

iface eth2 inet static # 4 host, entre los 3
address 172.25.2.33 # enrutadores
netmask 255.255.255.248
network 172.25.2.32
broadcast 172.25.2.39

auto eth1 # Interfaz para LAN de

iface eth1 inet static # 16 host, que conecta
address 172.25.2.1 # hacia el servidor DNS
netmask 255.255.255.224
network 172.25.2.0
broadcast 172.25.2.31

auto eth0 # Interfaz para salir a

iface eth0 inet dhcp # la red universitaria
 4

Para el router R2 se configur de la siguiente manera:

auto lo
iface lo init loop back

auto eth0 # Interfaz para red de

iface eth0 inet static # 4 host, entre los 3
address 172.25.2.34 # enrutadores
netmask 255.255.255.248
network 172.25.2.32
broadcast 172.25.2.39

auto eth1 # Interfaz para LAN de

iface eth1 inet static # 200 host, a la que le
address 172.25.0.1 # brindar DHCP
netmask 255.255.255.0
network 172.25.0.0
broadcast 172.25.0.255

auto eth2 # Interfaz para red de

iface eth2 inet static # 2 host, con la que se
address 172.25.2.41 # conectar a R3
netmask 255.255.255.252
network 172.25.2.40
broadcast 172.25.2.43
 5

Para el router R3 se configur de la siguiente manera:

auto lo
iface lo init loop back

auto enp4s0 # Interfaz para red de

iface enp4s0 inet static # 4 host, entre los 3
address 172.25.2.35 # enrutadores
netmask 255.255.255.248
network 172.25.2.32
broadcast 172.25.2.39

auto enp10s9 # Interfaz para red de

iface enp10s9 inet static # 2 host, con la que
address 172.25.2.42 # se conectar a R3
netmask 255.255.255.252
network 172.25.2.40
broadcast 172.25.2.43

auto enp10s10 # Interfaz para LAN de

iface enp10s10 inet static # 200 host, a la que se
address 172.25.1.1 # le asignar IP de
netmask 255.255.255.0 # forma manual
network 172.25.1.0
broadcast 172.25.1.255

Luego de guardar los cambios en el archivo, procedemos a reiniciar el servicio de red con
la siguiente lnea de comandos para que los cambios tomen efecto:

/etc/init.d/networking restart

Y as se configur para todas las interfaces de red y en cada uno de los routers.
 6

Instalacin del Servidor DHCP

Para la configuracin del servidor DHCP en el router R2, se procedi a instalar un

servidor DHCP usando la siguiente lnea de comandos:

sudo apt-get install isc-dhcp-server

Como queremos que nuestro servidor DHCP solo funcione para la subred que conectar
con una de las LAN, debemos especificar hacia cual interfaz queremos que se configure nuestro
servidor, para ello ubicamos el archivo /etc/default/isc-dhcp-server y modificamos la
siguiente lnea para que tomara la interfaz eth1 de R2:

INTERFACES=eth1

Ahora nos queda configurar nuestro servidor DHCP, para ello debemos modificar el
archivo ubicado en la ruta:

/etc/dhcp/dhcpd.conf

Luego, debemos ir hasta el final del archivo y definir una subred, para nuestro caso, se
defini de la siguiente forma:

default-lease-time 600;
max-lease-time 7200;
option subnet-mask 255.255.255.0;
options broadcast-address 172.25.0.255;
option routers 172.25.0.1;
option domain-nameservers 172.25.2.30;
subnet 172.25.0.0 netmask 255.255.255.0 {
range 172.25.0.2 172.25.0.254;
}
Guardamos el fichero y luego reiniciamos el servidor para que los nuevos cambios sean
tomados, utilizando el siguiente comando (y con permisos de superusuario):

sudo Service isc-dhcp-server restart

 7

Configuracin de Rutas

Para la configuracin de enrutamiento de cada router, debemos modificar el archivo de

interfaces /etc/network/interfaces y agregar al final cada ruta, que quedarn descrita de la
forma:

up route add -net {Red destino/Mscara} gw {Gateway}

Para el router R1:

# De R1 a LAN 200 host con DHCP, pasando por R2(eth2)

up route add -net 172.25.0.0/24 gw 172.25.2.34
# De R1 a LAN 200 host sin DHCP, pasando por R3(eth2)
up route add -net 172.25.1.0/24 gw 172.25.2.35
# Ruta default, saliendo por eth0
up route add net default dev eth0

Para el router R2:

# De R2 a LAN 16 host y server DNS, pasando por R1(eth0)

up route add -net 172.25.2.0/27 gw 172.25.2.33
# De R2 a LAN 200 host sin DHCP, pasando por R3(eth2)
up route add -net 172.25.1.0/24 gw 172.25.2.42
# Ruta default, saliendo por eth0
up route add net default gw 172.25.2.33

Para el router R3:

# De R3 a LAN 16 host/server DNS, pasando por R1(enp4s0)

up route add -net 172.25.2.0/27 gw 172.25.2.33
# De R3 a LAN 200 host con DHCP, pasando por R2(enp10s9)
up route add -net 172.25.0.0/24 gw 172.25.2.41 50
# Ruta default, saliendo por enp4s0
up route add net default gw 172.25.2.33

Para guardar los cambios, se deben reiniciar los equipos.

 8

Configuracin de Estaciones de Trabajo

Para configurar las estaciones de trabajo en las 3 distintas LAN de nuestra red, se
configuraron los archivos /etc/network/interfaces de modo que conectaran en sus
respectivas subredes, se realiz la configuracin en un host de cada LAN:

Para la red 172.25.0.0/24, LAN de 200 host con DHCP:

auto eth0
iface eth0 inet dhcp

Para la red 172.25.1.0/24, LAN de 200 host con IP esttica:

auto eth0
iface eth0 inet static
address 172.25.1.200
netmask 255.255.255.0
network 172.25.1.0
gateway 172.25.1.1
broadcast 172.25.1.255

Para la red 172.25.2.0/27, LAN de 16 host con IP esttica

auto eth0
iface eth0 inet static
address 172.25.2.16
netmask 255.255.255.224
network 172.25.2.0
gateway 172.25.2.1
broadcast 172.25.2.31
 9

Representacin Grfica de la Topologa

Nuestra topologa qued representada de la siguiente manera:

 10

Captulo 2

Conexin con la Red Universitaria

Instalacin de NAT

La instalacin se realiz en el router R1 utilizando iptables, una serie de comandos que

vienen por defecto en varias distribuciones de Ubuntu/Debian, y su mayor funcin es la de
Firewall. Estos cambios toman efecto de forma temporal hasta que se reinicia el servidor, por lo
que fue necesario copiar todos estos comandos en un archivo y guardarlo como un script en la
carpeta /etc/init.d/ con el nombre nat-facyt.sh, luego se le dio permisos de
ejecucin usando los comandos:

chmod +x /etc/init.d/nat-facyt.sh
update-rc.d nat-facyt.sh defaults

A continuacin, el contenido del script:

# Script NAT-Facyt para soportar NAT en R1

# Primero se borran las configuraciones previas por default
# y las de la tabla NAT

iptables --flush
iptables --table nat --flush
iptables --delete-chain
iptables --table nat --delete-chain

# Luego se activa el Masquerade en la interfaz de salida

# a la red de la universidad, etc0:
iptables --table nat --append POSTROUTING --out-interface eth0 -j
MASQUERADE

# Por ltimo el IP Forward desde los dispositivos de entrada

iptables --append FORWARD --in-interface eth2 -j ACCEPT
iptables --append FORWARD --in-interface eth1 -j ACCEPT
 11

Instalacin de DNS

Se escogi un equipo host de la red de 16 host, perteneciente a la LAN que conecta con el
router R1, el cual cumplir con las funciones de Servidor DNS y Monitor; al mismo se le asign
la IP 172.25.2.30, y su configuracin inicial consisti en modificar el archivo
/etc/network/interfaces de la siguiente manera:

auto eth2
iface eth2 inet static
address 172.25.2.30
netmask 255.255.255.224
network 172.25.2.0
gateway 172.25.2.1
broadcast 172.25.2.31

Para el manejo del DNS, se eligi el servicio dnsmasq, el cual ocupa una configuracin
muy sencilla. Para instalarlo, se ejecut el siguiente comando por cnsola, con permisos de root:

sudo apt-get install dnsmasq

Una vez instalado, se procedi a configurar el servicio, editando el archivo

/etc/dnsmasq.conf, donde se descoment la siguiente lnea y se edit con la IP del
servidor DNS:

listen-address=172.25.2.30

Adems, si no queremos tener problemas con nuestro servidor DHCP, debemos

asegurarnos que el servicio DHCP que brinda dnsmasq est desactivado, verificando que la
siguiente lnea est comentada:

#dhcp-range=192.168.0.50,192.168.0.150,12h
 12

Tambin debemos descomentar la lnea interface, e indicar cual se usar, o sino el

servicio ser visible a cualquier red que se conecte con las otras interfaces. Para el servidor DNS
la interfaz que se conecta con el router R1 es eth2:

interface=eth2

Ahora queda agregar los servidores DNS de la red universitaria, para que se puedan
resolver los nombres de las direcciones dentro de la universidad, as como cualquier otra
direccin en Internet. Dentro del mismo archivo de configuracin, agregamos las lnas:

nameserver 10.64.0.1
nameserver 10.64.0.2

Despus, al igual como se hizo con los routers, se modific el archivo /etc/hosts del
servidor DNS para agregar las direcciones de los routers, ya que desde este archivo es que
dnsmasq resuelve las direcciones IP:

172.25.2.33 R1
172.25.2.34 R2
172.25.2.35 R3

Para finalizar, se reinicia el servicio DNS para que quede operativo:

service dnsmasq restart

Con el servicio DNS corriendo, es necesario que tanto los hosts como los routers puedan
consultar el servidor DNS para resolver los nombres correctamente, eso lo logramos
modificando en cada equipo el archivo /etc/resolvconf/resolv.conf.d/base:

nameserver 172.25.2.30

Hay que recordar que esta ltima configuracin solo aplica a los host con IP estticas, ya
que el servidor DHCP ya fue modificado para que el nameserver apuntara al servidor DNS, por
lo que los host de esa LAN podrn resolver las direcciones sin configuracin adicional.
 13

Instalacin de SSH

Para la instalacin de SSH, se utiliz el paquete OpenSSH, que nos servir para
conectarnos remotamente a nuestro servidor y adems, incluye un servidor SFTP para la
transferencia de archivos. Este se instala mediante la siguiente lnea de comandos:

sudo apt-get install openssh-server

Una vez instalado, podemos proceder a configurarlo, editando el siguiente archivo:

/etc/ssh/sshd_config
 14

Captulo 3

Monitoreo y Seguridad en Red

Instalacin de Proxy

Para la instalacin del servidor proxy en R1, se eligi el paquete Squid3, el cual se instala
usando la siguiente lnea de comandos:

sudo apt-get install squid3

Luego de finalizar la instalacin, se procede a configurarlo, editando el siguiente archivo:

/etc/squid3/squid.conf

Debemos ubicar las siguientes lneas y editarlas como corresponden:

# descomentamos, y usamos el puerto por defecto

http_port 3128

# descomentamos, esta ser la cantidad de cache que usar

cache_mem 256 MB

# descomentamos, se utilizar ufs

cache_dir ufs /var/spool/squid3 100 16 256

Una vez terminada la configuracin inicial, comenzamos a definir nuestras reglas,

llamadas ACL (Access Control List, Listas de Control de Acceso), las cuales se agregarn al
final del archivo de configuracin, estas poseen la siguiente sintaxis:

acl nombre tipo argumento

 15

El nombre puede ser el que queramos, siempre que distinga una regla con otra de manera
inequvoca, el tipo se define de la siguiente forma:

src: IP Destino.

dst: IP Origen.

arp: MAC Address.

time: por tiempo limitado.

dstdomain: dominio completo.

El argumento depender del tipo que hayamos escogido, y se asignar una IP, una MAC,
un intrvalo de tiempo o un dominio completo, dependiendo de la regla que queramos establecer.
Conociendo estos parmetros, se configuraron las siguientes reglas:

acl reduc dstdomain .uc.edu.ve # Dominio de la UC

acl monitor dst 172.25.2.30 #IP del server monitor/DNS

Una vez definidas nuestras reglas, procedemos a permitir el acceso a las mismas,
agregando al archivo de configuracin los http_access, que quedarn definidos como sigue:

http_access allow reduc # Se permite acceso a Red UC

http_access allow monitor # Se permite acceso al monitor

http_access deny all # Se niega acceso al resto de la red

Luego de agregar todos los cambios al archivo de configuracin, lo guardamos y

procedemos a reiniciar el servicio con el comando:

service squid3 restart

Para probar el servidor proxy, basta con abrir el navegador y configurar el proxy,
apuntando al servidor 172.25.2.30, o directamente colocamos R1, y por el puerto 3128, de esta
manera podremos navegar solamente por pginas de la UC, sin acceso al resto del internet.
 16

Instalacin de Monitor

Se escogi Cacti como aplicacin de monitoreo en la red, cuya instalacin solo pide un
servidor LAMP para su administracin por interfaz web, y opcionalmente pide que se instale y
configuren los clientes SNMP en caso de querer monitorear estadsticas ms especficas. La
instalacin se llev a cabo con los siguientes comandos:

Instalacin de servidor LAMP:

sudo apt-get install apache2 mysql-server php5 libapache2-mod-php5

Instalacin de una herramienta que permite capturar y almacenar datos de la red.

sudo apt-get -y install rrdtool

Opcionalmente, se instala el cliente SNMP para monitorear al mismo servidor.

sudo apt-get -y install snmp snmpd

Se instala Cacti, junto a Spine, el cual sustituye la funcin cmd de PHP.

sudo apt-get -y install cacti cacti-spine

Durante la instalacin del LAMP, se pedir que configure la clave root de MySQL, luego
cuando se est instalando Cacti, se nos preguntar si queremos configurar la base de datos de
Cacti, escogemos configurarla, y luego nos pedir por la clave de la base de datos, la cual es la
que configuramos previamente en el LAMP.

Ya con todos los paquetes instalados correctamente, podemos entrar desde un navegador
web a la direccin 172.25.2.30/cacti, donde se proceder con la configuracin inicial del
monitor. Primero le damos next para aceptar los ToS, luego escogemos New Install y
volvemos a dar next, nos saldr una pantalla con los requisitos previos, los cuales deben estar
todos en verde si se instalaron correctamente, culminaremos esta primera configuracin haciendo
click en finish, para poder empezar a agregar los dispositivos a monitorear.
 17

Restringir trfico de LAN R1 a LAN R2

Para poder restringir el trfico de los equipos que van de la LAN de 16 hosts de R1, hacia
la LAN de 200 hosts con DHCP de R2, se utilizaron una serie de comandos con ip tables en el
router R2. Se tuvo en cuenta que el servidor DNS y Monitor se encuentra dentro de esta LAN, y
este equipo debe quedar por fuera de la restriccin para que pueda entregar las peticiones DNS a
los clientes de la LAN de R2. Sabiendo que el uso de los comandos iptables es temporal, y al
reiniciar el router estos cambios se perderan, se configur un script con estos comandos que se
ejecute siempre al encender e iniciar el equipo. Este script se guard en la ruta
/etc/init.d/ bajo el nombre seguridad, y qued definido como sigue:

# La opcin -A agrega la regla al final de la cadena, mientras

#que la opcin -I la agrega al inicio de la cadena

# Se bloquea el trfico que va desde la LAN de R1 a la LAN de R2

iptables -A INPUT -s 172.25.2.0/27 -d 172.25.0.0/24 -j DROP

# Se acepta todo el trfico desde el Monitor a la LAN de R2

iptables -I INPUT s 172.25.2.30 d 172.25.0.0/24 j ACCEPT

Se guarda el script, y luego se procede a aplicar los permisos de ejecucin y a agregarlo a

la lista de arranque del sistema con los siguientes comandos:

chmod +x /etc/init.d/seguridad

update-rc.d /etc/init.d/seguridad defaults

 18

Referencias

DHCP: https://help.ubuntu.com/community/isc-dhcp-server

NAT: https://www.howtoforge.com/nat_iptables

DNS: https://help.ubuntu.com/community/Dnsmasq

SSH: http://www.redeszone.net/gnu-linux/servidor-ssh-en-ubuntu/

Proxy: http://mjesussuarez.blogspot.com/2014/02/proxy-squid3-instalacion-y-configuracion.html
y http://www.tecmint.com/configure-squid-server-in-linux/

Monitor Cacti: https://www.unixmen.com/install-cacti-ubuntu-14-04/

Bloquear trfico con iptables: https://www.linode.com/docs/security/firewalls/control-network-

traffic-with-iptables