Professional Documents
Culture Documents
PROYECTO DE LABORATORIO
Carmelo Lpez
C.I: 19.990.231
Julio, 2016
Tabla de Contenidos
Referencias .....................................................................................................................................18
1
Se pide la instalacin de una red dentro del laboratorio que cumpla con los siguientes
requisitos:
2. En R1 debe configurarse una router NAT y proxy transparente hacia la red universitaria.
3. En R2 habilitar un servidor DHCP para la LAN interna.
4. En R3 la LAN debe ser asignacin esttica.
5. La LAN de R1 no puede tener acceso a la LAN de R2.
6. El servidor Monitor debe ser visto desde la LAN interna y la Red Universitaria.
7. El servicio SSH debe poder permitirse el trfico interno y externo.
8. Configurar en el servidor Monitor el cual pueda monitorear los servicios internos de la
red (monitor.facyt.uc.edu.ve). Siendo esta aplicacin la de su preferencia. Igualmente
instalar un servidor SSH y DNS interno.
9. El servidor DNS Cache debe tener la zona redesII.facyt.uc.edu.ve
10. En R2 configurar la red interna con un servidor DHCP para los dispositivos de la red
local.
2
Captulo 1
Enrutamiento
Segmentacin
Dado el segmento 127.25.0.0/21, se dividi de la siguiente manera:
Configuracin de Routers
net.ipv4.if_forward=1
Verificamos que est igualada a 1 para que los cambios sean permanentes, luego para que
sean tomados estos cambios corremos la siguiente lnea de comandos:
systcl p /etc/sysctl.conf
/etc/init.d/networking restart
Adicionalmente, se modific el nombre de cada router para que se puedan indentificar los
mismos como R1, R2 y R3, modificando el archivo /etc/host de cada equipo:
172.25.2.33 R1
172.25.2.34 R2
172.25.2.35 R3
3
Asignacin De IP
El siguiente paso es asignar las IP a los router, para lo cual debemos modificar el archivo
ubicado en la ruta:
/etc/network/interfaces
Conocemos que los equipos poseen 3 tarjetas de red, que debemos identificar para poder
configurar las direcciones IP segn la red a la que vayamos a conectarlas.
auto lo
iface lo init loop back
auto lo
iface lo init loop back
auto lo
iface lo init loop back
Luego de guardar los cambios en el archivo, procedemos a reiniciar el servicio de red con
la siguiente lnea de comandos para que los cambios tomen efecto:
/etc/init.d/networking restart
Y as se configur para todas las interfaces de red y en cada uno de los routers.
6
Como queremos que nuestro servidor DHCP solo funcione para la subred que conectar
con una de las LAN, debemos especificar hacia cual interfaz queremos que se configure nuestro
servidor, para ello ubicamos el archivo /etc/default/isc-dhcp-server y modificamos la
siguiente lnea para que tomara la interfaz eth1 de R2:
INTERFACES=eth1
Ahora nos queda configurar nuestro servidor DHCP, para ello debemos modificar el
archivo ubicado en la ruta:
/etc/dhcp/dhcpd.conf
Luego, debemos ir hasta el final del archivo y definir una subred, para nuestro caso, se
defini de la siguiente forma:
default-lease-time 600;
max-lease-time 7200;
option subnet-mask 255.255.255.0;
options broadcast-address 172.25.0.255;
option routers 172.25.0.1;
option domain-nameservers 172.25.2.30;
subnet 172.25.0.0 netmask 255.255.255.0 {
range 172.25.0.2 172.25.0.254;
}
Guardamos el fichero y luego reiniciamos el servidor para que los nuevos cambios sean
tomados, utilizando el siguiente comando (y con permisos de superusuario):
Configuracin de Rutas
Para configurar las estaciones de trabajo en las 3 distintas LAN de nuestra red, se
configuraron los archivos /etc/network/interfaces de modo que conectaran en sus
respectivas subredes, se realiz la configuracin en un host de cada LAN:
auto eth0
iface eth0 inet dhcp
auto eth0
iface eth0 inet static
address 172.25.1.200
netmask 255.255.255.0
network 172.25.1.0
gateway 172.25.1.1
broadcast 172.25.1.255
auto eth0
iface eth0 inet static
address 172.25.2.16
netmask 255.255.255.224
network 172.25.2.0
gateway 172.25.2.1
broadcast 172.25.2.31
9
Captulo 2
Instalacin de NAT
chmod +x /etc/init.d/nat-facyt.sh
update-rc.d nat-facyt.sh defaults
iptables --flush
iptables --table nat --flush
iptables --delete-chain
iptables --table nat --delete-chain
Instalacin de DNS
Se escogi un equipo host de la red de 16 host, perteneciente a la LAN que conecta con el
router R1, el cual cumplir con las funciones de Servidor DNS y Monitor; al mismo se le asign
la IP 172.25.2.30, y su configuracin inicial consisti en modificar el archivo
/etc/network/interfaces de la siguiente manera:
auto eth2
iface eth2 inet static
address 172.25.2.30
netmask 255.255.255.224
network 172.25.2.0
gateway 172.25.2.1
broadcast 172.25.2.31
Para el manejo del DNS, se eligi el servicio dnsmasq, el cual ocupa una configuracin
muy sencilla. Para instalarlo, se ejecut el siguiente comando por cnsola, con permisos de root:
listen-address=172.25.2.30
#dhcp-range=192.168.0.50,192.168.0.150,12h
12
interface=eth2
Ahora queda agregar los servidores DNS de la red universitaria, para que se puedan
resolver los nombres de las direcciones dentro de la universidad, as como cualquier otra
direccin en Internet. Dentro del mismo archivo de configuracin, agregamos las lnas:
nameserver 10.64.0.1
nameserver 10.64.0.2
Despus, al igual como se hizo con los routers, se modific el archivo /etc/hosts del
servidor DNS para agregar las direcciones de los routers, ya que desde este archivo es que
dnsmasq resuelve las direcciones IP:
172.25.2.33 R1
172.25.2.34 R2
172.25.2.35 R3
Con el servicio DNS corriendo, es necesario que tanto los hosts como los routers puedan
consultar el servidor DNS para resolver los nombres correctamente, eso lo logramos
modificando en cada equipo el archivo /etc/resolvconf/resolv.conf.d/base:
nameserver 172.25.2.30
Hay que recordar que esta ltima configuracin solo aplica a los host con IP estticas, ya
que el servidor DHCP ya fue modificado para que el nameserver apuntara al servidor DNS, por
lo que los host de esa LAN podrn resolver las direcciones sin configuracin adicional.
13
Instalacin de SSH
Para la instalacin de SSH, se utiliz el paquete OpenSSH, que nos servir para
conectarnos remotamente a nuestro servidor y adems, incluye un servidor SFTP para la
transferencia de archivos. Este se instala mediante la siguiente lnea de comandos:
/etc/ssh/sshd_config
14
Captulo 3
Instalacin de Proxy
Para la instalacin del servidor proxy en R1, se eligi el paquete Squid3, el cual se instala
usando la siguiente lnea de comandos:
/etc/squid3/squid.conf
El nombre puede ser el que queramos, siempre que distinga una regla con otra de manera
inequvoca, el tipo se define de la siguiente forma:
src: IP Destino.
dst: IP Origen.
El argumento depender del tipo que hayamos escogido, y se asignar una IP, una MAC,
un intrvalo de tiempo o un dominio completo, dependiendo de la regla que queramos establecer.
Conociendo estos parmetros, se configuraron las siguientes reglas:
Una vez definidas nuestras reglas, procedemos a permitir el acceso a las mismas,
agregando al archivo de configuracin los http_access, que quedarn definidos como sigue:
Para probar el servidor proxy, basta con abrir el navegador y configurar el proxy,
apuntando al servidor 172.25.2.30, o directamente colocamos R1, y por el puerto 3128, de esta
manera podremos navegar solamente por pginas de la UC, sin acceso al resto del internet.
16
Instalacin de Monitor
Se escogi Cacti como aplicacin de monitoreo en la red, cuya instalacin solo pide un
servidor LAMP para su administracin por interfaz web, y opcionalmente pide que se instale y
configuren los clientes SNMP en caso de querer monitorear estadsticas ms especficas. La
instalacin se llev a cabo con los siguientes comandos:
Durante la instalacin del LAMP, se pedir que configure la clave root de MySQL, luego
cuando se est instalando Cacti, se nos preguntar si queremos configurar la base de datos de
Cacti, escogemos configurarla, y luego nos pedir por la clave de la base de datos, la cual es la
que configuramos previamente en el LAMP.
Ya con todos los paquetes instalados correctamente, podemos entrar desde un navegador
web a la direccin 172.25.2.30/cacti, donde se proceder con la configuracin inicial del
monitor. Primero le damos next para aceptar los ToS, luego escogemos New Install y
volvemos a dar next, nos saldr una pantalla con los requisitos previos, los cuales deben estar
todos en verde si se instalaron correctamente, culminaremos esta primera configuracin haciendo
click en finish, para poder empezar a agregar los dispositivos a monitorear.
17
Para poder restringir el trfico de los equipos que van de la LAN de 16 hosts de R1, hacia
la LAN de 200 hosts con DHCP de R2, se utilizaron una serie de comandos con ip tables en el
router R2. Se tuvo en cuenta que el servidor DNS y Monitor se encuentra dentro de esta LAN, y
este equipo debe quedar por fuera de la restriccin para que pueda entregar las peticiones DNS a
los clientes de la LAN de R2. Sabiendo que el uso de los comandos iptables es temporal, y al
reiniciar el router estos cambios se perderan, se configur un script con estos comandos que se
ejecute siempre al encender e iniciar el equipo. Este script se guard en la ruta
/etc/init.d/ bajo el nombre seguridad, y qued definido como sigue:
chmod +x /etc/init.d/seguridad
Referencias
DHCP: https://help.ubuntu.com/community/isc-dhcp-server
NAT: https://www.howtoforge.com/nat_iptables
DNS: https://help.ubuntu.com/community/Dnsmasq
SSH: http://www.redeszone.net/gnu-linux/servidor-ssh-en-ubuntu/
Proxy: http://mjesussuarez.blogspot.com/2014/02/proxy-squid3-instalacion-y-configuracion.html
y http://www.tecmint.com/configure-squid-server-in-linux/