Instytut Elektroniki
Wydział Automatyki, Elektroniki i Informatyki
Politechniki Śląskiej
SIECI KOMPUTEROWE
LABORATORIUM
Instrukcja do ćwiczenia nr 10
Gliwice 2011
Ćwiczenie 10
Budowa, konfiguracja i
zarządzanie siecią Intranet cz. 2
10.1 Wstęp teoretyczny
Wstęp teoretyczny znajduje się w rozdziale 9, czyli części 1 tego ćwiczenia.
10.2 Problemy do rozwiązania przed ćwicze-
niem
a) Zapoznaj się instrukcją do ćwiczenia Budowa, konfiguracja i zarządza-
nie siecią Intranet cz. 1  rozdział 9?
10.3 Program ćwiczenia
Celem ćwiczenia jest zintegrowanie sieci Intranet z siecią globalną In-
ternet. Jako platforma sprzętowo-programowa do ćwiczeń używany będzie
system FreeBSD oraz router D-Link DI-714P+. Urządzenie to jest tylko ser-
werem NAT i pozwala na podłączenie małej sieci na jednym zewnętrznym
numerze IP  nie jest to przełącznik warstwy 3 jak wskazuje nazwa. Druga
część ćwiczenia obejmuje konfigurację usługi automatycznego przydzielania
adresów w sieci (DHCP), uruchomienie serwera proxy i wymuszenie korzy-
stania z niego przez konfigurację przez
roczystego (transparentnego) proxy.
10.3.1 Część 2: Zarządzanie siecią intranetową
Ćwiczenie obejmuje następujące etapy:
Ćwiczenie 10 - Program ćwiczenia 3
" konfiguracja serwera DHCP i przydzielenie adresu klientowi;
" konfiguracja serwera proxy (squid), udostępnienie połączenia klientowi;
" wymuszenie używania serwera proxy przez włączenia trybu transpa-
rentnego;
" ograniczenia dostępu do sieci do wybranych usług i adresów.
Automatyczne przydzielanie adresów  serwer DHCP
Sieć Intranet ograniczono do dwóch komputerów. Konfiguracja serwe-
ra odpowiada stanowi jaki uzyskano na zakończenie części pierwszej, czyli
wszystkie interfejsy sieciowe są skonfigurowane a funkcje bramy i translacji
adresów są aktywne. Podłączony do sieci klient nie ma jednak ustawionego
adresu IP, oczekuje na przydzielenie numeru przez serwer DHCP.
Jednym z popularniejszych serwerów DHCP dostępnych dla systemów
UNIXowych, w tym także FreeBSD jest ISC DHCP Distribution, obecnie
w wersji 3 (http://www.isc.org/products/DHCP/). Konfiguracja serwera
jest odczytywana z pliku /usr/local/etc/dhcpd.conf. Po instalacji istnie-
je tylko plik dhcpd.conf.sample, który może posłużyć jako przykład do
budowy własnej konfiguracji. Na serwerze laboratoryjnym serwer DHCP jest
skonfigurowany i uruchomiony, lecz jest to tylko konfiguracja minimalna bez
włączenia wymaganych przez klienta funkcji. Wpisane w pliku /etc/rc.conf
linie: dhcpd enable="YES" oraz dhcpd ifaces="ed0" odpowiadają za start
serwera oraz powodują, że nasłuchuje on żądań przydzielenia parametrów
sieci tylko od strony Intranetu (zakładając, że sieć wewnętrzna podłączona
jest do serwera przez interfejs ed0).
Skonfiguruj serwer DHCP tak, aby pozwalał na automatyczną konfigura-
cję ustawień protokołu IP na komputerze w sieci intranetowej. Przykładowe
wpisy w pliku dhcpd.conf w przypadku przydzielania losowego adresu z po-
danego zakresu (tutaj końcówki od 100 do 199) mogą wyglądać następująco:
ddns-update-style none;
log-facility local7;
subnet 192.168.0.0 netmask 255.255.255.0 {
authoritative;
option domain-name-servers 192.168.0.1;
option domain-name "lab.iele.polsl.gliwice.pl";
option routers 192.168.0.1;
option broadcast-address 192.168.0.255;
Ćwiczenie 10 - Program ćwiczenia 4
default-lease-time 21600;
max-lease-time 86400;
pool {
allow unknown-clients;
range 192.168.0.100 192.168.0.199;
}
}
natomiast w przypadku przydzielania stałego adresu zależnie od adresu fi-
zycznego karty sieciowej (w przykładzie 00:00:00:00:00:00) należy dodat-
kowo dopisać:
host sk_lab {
hardware ethernet 00:00:00:00:00:00;
fixed-address 192.168.0.2;
server-name "sk_lab";
}
pamiętając, żeby wybrany adres (tutaj końcówka 2) był poza zakresem ad-
resów ustaloną wcześniej.
Zmiany w konfiguracji wymagają restartu serwera DHCP, co można zro-
bić przykładowo za pomocą skryptu zainstalowanego w systemie:
/usr/local/etc/rc.d/isc-dhcpd restart
Po ponownym uruchomieniu serwera sprawdz
jego działanie na komputerze
podłączonym do sieci wewnętrznej  zarówno w trybie przydzielania adresu
losowego, jak i przypisania adresu IP do adresu MAC. Sprawdz
uruchamiając
przeglądarkę internetową, czy konfiguracja uzyskana z serwera jest poprawna
i umożliwia dostęp do Internetu.
Konfiguracja serwera proxy
Sprawdz
korzystając z serwisu BrowserSpy.dk, dostępnego pod adresem
http://browserspy.dk/ip.php, pod jakim adresem jest widziany w sieci ze-
wnętrznej klient z sieci lokalnej. Następnie ustaw w konfiguracji połączenia
przeglądarki internetowej korzystanie z serwera proxy  adresem jest IP bra-
my, domyślny port: 3128. Usługa proxy squid powinna być uruchomiona
na serwerze (linia squid enable="YES" w pliku /etc/rc.conf), a domyślna
konfiguracja serwera jest prawie wystarczająca do działania. Serwer standar-
dowo blokuje dostęp dla wszystkich komputerów. Aby skorzystać z jego usług
należy odblokować komputery w sieci intranetowej  inaczej po wywołaniu
Ćwiczenie 10 - Program ćwiczenia 5
dowolnej strony jako odpowiedz
zostanie wyświetlony komunikat informu-
jący o braku dostępu, który powinien się pojawić na ekranie przy próbie
odświeżenia strony.
Standardowy plik konfiguracyjny (/usr/local/etc/squid/squid.conf)
jest uzupełniony wieloma komentarzami, co ułatwia wprowadzanie zmian.
Do ustawiania zasad dostępu służą dyrektywy: acl i http access. Pierwsza
z nich tworzy zadaną grupę na podstawie takich danych jak z
ródłowy i doce-
lowy adres ip lub nazwa domeny, czas dostępu do sieci, porty, protokoły, itd.
Druga włącza lub wyłącza dostęp dla tej grupy. Ważna jest kolejność wpisy-
wania w/w dyrektyw http access w pliku konfiguracyjnym (jeżeli nastąpiła
blokada sieci globalnej definiowanej jako acl all 0.0.0.0/0.0.0.0 polece-
niem http access deny all, to następne dyrektywy będą ignorowane).
Przykładowa konfiguracja odblokowująca dostęp dla sieci odpowiadającej
przykładowym ustawieniom serwera DHCP z poprzedniego zadania:
acl intranet src 192.168.0.0/24
http_access allow intranet
Autorzy programu wyznaczyli w pliku squid.conf miejsce dla wpisania
konfiguracji własnej sieci wpisując tam w postaci komentarza tekst: IN-
SERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR
CLIENTS. Po wprowadzeniu zmian w pliku konfiguracyjnym konieczne jest
ponowne uruchomienie serwera squid za pomocą przygotowanego w systemie
skryptu:
/usr/local/etc/rc.d/squid restart
lub tylko odczytania konfiguracji bez zatrzymywania usługi poleceniem squid
-k reconfigure. Sprawdz
działanie proxy otwierając w przeglądarce stronę
http://browserspy.dk/proxy.php.
Przezroczyste (transparentne) proxy
Serwer typu cache proxy, jakim jest squid, pozwala odciążyć łącze. Nie-
stety często użytkownicy nie potrafią odpowiednio skonfigurować swojej prze-
glądarki lub próbują ominąć zalecenia administratora. W takiej sytuacji moż-
na  wymusić używanie proxy przez użytkowników tworząc tzw. transparent-
ne proxy. Także squid może pełnić rolę takiego proxy. Modyfikacji wymaga
plik konfiguracyjny /usr/local/etc/squid/squid.conf oraz konieczne jest
przekierowanie ruchu protokołu http na port na którym działa squid. Wy-
korzystamy do tego systemową zaporę: ipfw.
Od wersji 2.6 wymaganą zmianą w konfiguracji squida (pozwalającą na
działanie zarówno w trybie transparentnym jak i normalnym) jest linia:
Ćwiczenie 10 - Program ćwiczenia 6
http_port 3128 transparent
Następnie należy przeładować konfigurację proxy metodą podaną wcześniej.
Proxy jest już przygotowane do obsługi ruchu w trybie transparentnym,
ale trzeba jeszcze przekierować ruch użytkowników korzystających z protoko-
łu http (czyli inicjujących połączenia z portem 80) na uruchomionego w sys-
temie squida. Przykładowa komenda wyglada następująco::
/sbin/ipfw add numer_reguły fwd 192.168.0.1,3128 tcp
from 192.168.0.0/24 to any 80
gdzie 192.168.0.1,3128 to adres proxy, from 192.168.0.0/24 komputery
których dotyczy wymuszenie używania proxy (tutaj cała podsieć) oraz to
any 80 informuje, że na proxy mają być przekierowane połączenia na do-
wolny adres i port 80. Niektóre opracowania zalecają także przekierowanie
ruchu wykorzystującego protokół udp oraz dodatkowo przekirowanie próby
wywołania innych serwerów proxy (port 8080 i 3128) czy też połączeń szyfro-
wanych (port 443). Powyższa linia zmieniająca konfigurację firewall powinna
być umieszczona przed poleceniem allow ip from any to any. Kolejność
można ustalać podając numer reguły po poleceniu add a aktualny stan wy-
świetla komenda ipfw show.
Działanie takie jest wykrywalne od strony klienta, ponieważ serwer proxy
zazwyczaj identyfikuje się na serwerze docelowym, co ma zapobiec proble-
mom z połączeniem. Po uruchomieniu wszystkich potrzebnych opcji sprawdz

działanie przez
roczystego proxy korzystając ponownie z serwisu Browser-
Spy.dk, pod adresem: http://browserspy.dk/proxy.php ustawiając prze-
glądarkę w tryb połączenia bezpośredniego. Mimo wyłączenia proxy przy po-
prawnej konfiguracji serwera strona w serwisie BrowserSpy.dk powinna poin-
formować, że użytkownik korzysta z proxy o podanych parametrach. W razie
problemów konieczne może być dopisanie dodatkowo w pliku squid.conf linii
always direct allow all oraz ie refresh on.
Ograniczanie dostępu do sieci przez serwer proxy
Serwer proxy często wystarcza do obsługi sieci intranetowej i ze wzglę-
du na duże możliwości konfiguracji dostępu jest wykorzystywany w sieciach
korporacyjnych. Dostęp do sieci jest wtedy ograniczony tylko do programów
potrafiących wykorzystać usługę http proxy, ponieważ można korzystać z sie-
ci przy wyłączonej usłudze translacji adresów NAT.
Za translację adresów odpowiedzialny jest program natd. Wyłącz go pole-
ceniem kill numer procesu  numer procesu można uzyskać poleceniem ps
ax | grep natd. Dodatkowo konieczna jest rekonfiguracja firewalla, a do-
kładniej usunięcia polecenia z parametrem divert. Można to zrealizować
Ćwiczenie 10 - Program ćwiczenia 7
przykładowo wpisując kolejno komendy /sbin/ipfw -f flush i /sbin/ipfw
add pass all from any to any. Komendy te usuną także opcje transpa-
rentnego proxy włączane w poprzednim zadaniu.
Ustaw ponownie odpowiednią konfiguację dla serwera proxy w przeglą-
darce. Sprawdz
korzystając z podanej wcześniej strony czy dostęp do In-
ternetu jest ciągle możliwy przy użyciu przeglądarki. Przełącz przeglądarkę
w tryb bezpośredniego połączenia z Internetem (bez proxy) i spróbuj odświe-
żyć stronę. Sprawdz
poleceniem ping dostępność bramy i wybranego adresu
z Internetu, np. strony Instytutu, czyli www.iele.polsl.pl.
Jak wspomniano wcześniej squid umożliwia ograniczanie dostępu zależnie
od adresu IP lub MAC klienta, adresu docelowego, czasu, portu, przeglądarki,
użytkownika, itd. Zarządzanie dostępem realizowane jest za pomocą używa-
nych już wcześniej dyrektyw: acl nazwa reguły parametry, która definiuje
zakres dostępu i http access allow/deny nazwa reguły, która określa czy
zapytanie w pakiet spełniający regułę zostanie zrealizowane lub zablokowane.
Dyrektywy http access czytane są kolejno z pliku konfiguracyjnego i jeżeli
aktualny pakiet spełnia jedną z nich, to kolejne nie są już przetwarzane.
Przykładowo dyrektywa acl serwerypolsl dstdomain .polsl.pl de-
finiuje pod nazwą serwerypolsl wszystkie adresy, które kończą się tekstem
 polsl.pl (uwaga na kropkę przed nazwą domeny). Dyrektywa http access
deny serwerypolsl blokuje dostęp do stron, których adres jest zakończo-
ny tym tekstem. Przekonfiguruj serwer proxy ograniczając dostęp tak, aby
użytkownik:
" nie miał dostępu do stron Politechniki Śląskiej, czyli adresów typu
http://*.polsl.pl;
" miał dostęp do strony Wydziału Automatyki, Informatyki i Elektroniki,
czyli http://www.aei.polsl.pl.
Zdefiniuj w pliku konfiguracyjnym squid.conf odpowiednie dyrektywy ty-
pu acl nazwa dstdomain oraz wpisz w odpowiedniej kolejności dyrektywy
http access dla tych definicji. Po zmianach konfiguracji należy zrestartować
serwer proxy. Sprawdz
działanie reguł próbując otworzyć następujące strony:
http://www.polsl.pl i http://www.iele.polsl.pl (nie powinny działać)
oraz http://www.aei.polsl.pl (powinna się otwierać).