Daniel Migdał
Mariusz Lis
Laboratorium realizowane na zajęciach 4 (Moduł 4)
Zadanie 1
Jesteś pracownikiem działu IT w firmie Northwind Traders.
Otrzymałeś zadanie skonfigurowanie rutera programowego opartego na
systemie Debian GNU/Linux w taki sposób aby zapewnił dostęp do sieci
Internet dla komputerów wewnątrz sieci z systemem MS Windows,
ulokowanych w dwóch podsieciach, zgodnie z poniższym rysunkiem:
Twoim zadaniem jest:
" skonfigurowanie interfejsów sieciowych w/w systemów w sposób
statyczny, zgodnie z poniższą tabelą:
Urządzenie Interfejs Adres IP Maska Podsieci Domyślna
brama
BST2 eth0 (w trybie 172.16.255.1 255.255.255.0 nie dotyczy
Local Only)
BST2 eth1 (w trybie automatyczne automatyczne automatyczne
zmostkowanym) pobieranie z dhcp pobieranie z dhcp pobieranie z dhcp
BST2 eth2 (w trybie 192.168.254.1 255.255.255.0 nie dotyczy
Local Only)
PC2 - Windows nie dotyczy 192.168.254.200 255.255.255.0 192.168.254.1
XP"Kowalski"
PC1 - Windows Nie dotyczy 172.16.255.100 255.255.255.0 172.16.255.1
XP"Nowak"
" zainstalowanie w ruterze BST2 serwera DNS (bind9),
" skonfigurowanie systemów Windows wewnątrz sieci w taki sposób, aby
korzystały z serwera DNS zainstalowanego na ruterze BST2,
" utworzenie w ruterze BST2 skryptu /etc/firewall/firewall
" wpisanie w skrypcie /etc/firewall/firewall polecenia aktywującego
przekazywanie pakietów między interfejsami sieciowymi, jak również
poleceń zerujących łańcuchy w tablicach, oraz polityki domyślne
ustawione na "ACCEPT",
" odczytanie adresu IP przydzielonego przez usługę dhcp interfejsowi eth1
w ruterze BST2,
" uruchomienie usługi NAT poprzez dopisanie do
skryptu /etc/firewall/firewall instrukcji:
iptables -t nat -A POSTROUTING -o eth1 -s 192.168.254.0/24 -j SNAT --to {1.2.3.4}
iptables -t nat -A POSTROUTING -o eth1 -s 172.16.255.0/24 -j SNAT --to {1.2.3.4}
gdzie {1.2.3.4} to adres IP przydzielony przez usługę dhcp interfejsowi
eth1 w ruterze BST2,
" uruchomienie zmodyfikowanego skryptu /etc/firewall/firewall
" przetestowanie w systemach Windows XP "Nowak" oraz Windows XP
"Kowalski" możliwości uzyskania dostępu do sieci Internet.
Zadanie 2
Jesteś pracownikiem działu IT w firmie Northwind Traders.
Firma posiada łącze internetowe o przepustowości 1 [Mbit/s]. Niestety czasami
zdarza się iż pracownicy chwilowo nie mają dostępu do sieci Internet, co jak się
okazało wynika z tego, iż przepustowość łącza internetowego jest w tym
momentach zużywana w całości.
Otrzymałeś więc polecenie utworzenia w ruterze BST2 skryptu podziału łącza
internetowego dla komputerów wewnątrz sieci komputerowej, wg.
następujących założeń:
" gwarantowane 400kbit/s dla usługi www, dla wszystkich komputerów w
obydwu podsieciach,
" gwarantowane 150kbit/s dla usługi poczty elektronicznej, dla wszystkich
komputerów w obydwu podsieciach,
" gwarantowane 100kbit/s dla usługi FTP, dla wszystkich komputerów w
obydwu podsieciach,
" gwarantowane 50kbit/s dla usługi DNS, dla wszystkich komputerów w
obydwu podsieciach,
" gwarantowane 100kbit/s dla usługi SSH, dla wszystkich komputerów w
obydwu podsieciach,
" gwarantowane 50kbit/s dla pakietów ACK skierowanych do wszystkich
komputerów w obydwu podsieciach,
" dla pozostałych usług sieciowych gwarantowane 150kbit/s.
Największą trudnością jak się okazuje jest fakt, że w sieci lokalnej
wyodrębnione są dwie podsieci rozdzielone fizycznie, co uniemożliwia w pełni
dynamicznego podziału całej przepustowości łącza pomiędzy komputery w
obydwu tych podsieciach. Zasięgając opinii, otrzymałeś informację, że można
ten problem rozwiązać za pomocą interfejsu pośredniczącego IMQ.
Twoim zadaniem jest więc:
" dopisanie do skryptu /etc/firewall/firewall instrukcji:
#instrukcja aktywująca moduł "imq"
modprobe imq
#instrukcja uaktywniająca interfejs imq o numerze 1
ip link set imq1 up
#instrukcja kierująca do interfejsu imq1 ruch przechodzący przez interfejs eth1 (od strony sieci Internet w stronę sieci
lokalnej), po etapie podjęcia decyzji o rutingu
iptables -t mangle -A PREROUTING -i eth1 -j IMQ --todev 1
" utworzenie skryptu /etc/firewall/qos, i następnie wewnątrz tego pliku
reguł z wykorzystaniem algorytmu HTB, dla ruchu przechodzącego przez
utworzony interfejs "imq1" wg. następujących założeń:
" zadeklarowana przepustowość dla interfejsu: 1 [Mbit/s]
" gwarantowane 400kbit/s dla usługi www,
" gwarantowane 150kbit/s dla usługi poczty elektronicznej,
" gwarantowane 100kbit/s dla usługi FTP,
" gwarantowane 50kbit/s dla usługi DNS,
" gwarantowane 100kbit/s dla usługi SSH,
" gwarantowane 50kbit/s dla powracających pakietów ACK,
" dla pozostałych usług sieciowych gwarantowane 150kbit/s.
" uruchomienie skryptu /etc/firewall/firewall oraz /etc/firewall/qos
" zrealizowanie dowolnych transmisji pobierania plików w obydwu
systemach Windows, a następnie zaobserwowanie ilości danych jakie
przepłynęły przez utworzone klasy, za pomocą polecenia: # tc -s -d class
show dev imq1
Zadanie 4
Jesteś pracownikiem działu IT w firmie Northwind Traders.
W związku z nadmiernym użytkowaniem sieci P2P, otrzymałeś polecenie aby
zrealizować w skrypcie podziału łącza przydział przepustowości o wartości
gwarantowanej i nominalnej - 50 [kbit/s], kosztem odjęcia tej wartości od
przepustowości przydzielonej dla usługi www.
Twoim zadaniem jest więc:
" w skrypcie /etc/firewall/firewall dopisanie reguł filtrujących i znakujących
sesje ruchu P2P:
iptables -t mangle -A POSTROUTING -m ipp2p --edk --kazaa --gnu --dc --bit --apple --winmx --soul --ares -j
CONNMARK --set-mark 100
iptables -t mangle -A POSTROUTING -m layer7 --l7proto directconnect -j CONNMARK --set-mark 100
iptables -t mangle -A POSTROUTING -m layer7 --l7proto edonkey -j CONNMARK --set-mark 100
iptables -t mangle -A POSTROUTING -m layer7 --l7proto bittorrent -j CONNMARK --set-mark 100
iptables -t mangle -A POSTROUTING -m layer7 --l7proto gnutella -j CONNMARK --set-mark 100
iptables -t mangle -A POSTROUTING -m layer7 --l7proto fasttrack -j CONNMARK --set-mark 100
iptables -t mangle -A POSTROUTING -m layer7 --l7proto soulseek -j CONNMARK --set-mark 100
iptables -t mangle -A POSTROUTING -m layer7 --l7proto ares -j CONNMARK --set-mark 100
iptables -t mangle -A POSTROUTING -m connmark --mark 100 -j CONNMARK --restore-mark
" w skrypcie /etc/firewall/qos odjęcie dla klasy do której kierowany jest
ruch www - 50 [kbit/s] dla wartości "rate",
" w skrypcie /etc/firewall/qos utworzenie nowej klasy i przydzielenie dla
niej wartości "rate" oraz "ceil" na poziomie 50 [kbit/s],
" w skrypcie /etc/firewall/qos dopisanie filtru kierującego znakowany
przez iptables ruch P2P do klasy dla niej przewidzianej:
tc filter add dev imq1 parent 1:0 protocol ip handle 100 fw flowid 1:{x}
" uruchomienie skryptów /etc/firewall/firewall oraz /etc/firewall/qos
" zrealizowanie w dowolnym systemie Windows transmisji pobierania
dowolnego pliku z wykorzystaniem protokołu bittorent
(np.: http://cdimage.debian.org/debian-cd/7.2.0/amd64/bt-cd/)
" sprawdzenie w ruterze BST2 czy są znakowane pakiety w sposób
prawidłowy, z wykorzystaniem polecenia: # grep "mark=100"
/proc/net/ip_conntrack
" sprawdzenie w ruterze BST2 czy do utworzonej klasy na potrzeby ruchu P2P
wpadają sklasyfikowane (oznaczone przez iptables) pakiety, za pomocą
polecenia: # tc -s -d class show dev imq1