Atividades Prticas

Introduo Administrao de Sistemas Linux - Redes e Servios

Julho 2017

1
 Figura 1: Topologia

1 Segmentando redes
Para essa atividade prtica, considere o diagrama da Figura 1. O objetivo fazer os trs elemen-
tos se comunicarem em ambiente totalmente virtualizado, utilizando a rede do tipo Rede Interna do
VirtualBox.
Essa uma modificao da rede do cenrio anterior. H mais uma mquina virtual adicionada e
mais um segmento de rede. Os dois segmentos de rede so uma diviso do segmento de rede anterior.
Alm disso, h comunicao com a Internet pela primeira vez.

1. Divida a rede 10.2.2.0/24 em duas redes diferentes. Determine qual ser a nova mscara de rede,
a nova mscara em notao CIDR, a faixa de endereos vlidos para cada rede, o endereo de
rede e broadcast de cada uma. Ento, escolha os endereos para as interfaces dos roteadores e
dos hosts.

2 Criando Regras de Firewall Bsicas

1. A estao de trabalho host1 precisa gerenciar os servidores e o prprio roteador, para isso, vamos
elaborar um esquema de firewall baseado em whitelist. Para isso:

2
 (a) Configure o firewall para autorizar conexes SSH (porta de destino 22 por padro) entre
o host1 e os demais hosts da rede.
(b) Alm de SSH, o firewall deve autorizar ICMP (ping e traceroute, por exemplo) entre o
host1 e os demais hosts da rede.
(c) Teste a comunicao com os comandos ping, traceroute e tente estabelecer conexes SSH
entre host1 e os demais elementos da rede.

2. Atualmente, a estao de trabalho possui uma interface no VirtualBox configurada como bridge.
Essa interface era a interface original da mquina e est fora da rede do diagrama. Vamos
remov-la pois queremos que o trfego da mquina passe exclusivamente pelo roteador da rede.
Precisamos ento configurar o roteador como gateway para acesso Internet - para isso, vamos
utilizar NAT:

(a) Crie uma regra de SNAT (Source NAT) para que todos os hosts da rede saiam para a
Internet pelo roteador utilizando o IP da sua nica interface externa (que chamaremos
aqui de WAN). Observao: No dever haver NAT entre as demais redes, apenas para
trfego com a Internet.
(b) Autorize trfego de sada para Internet desde que seja Web e DNS. Trfego Web utiliza o
protocolo HTTP ou HTTPS e, portanto, portas 80 e 443 (TCP), respectivamente. Trfego
DNS funciona utilizando a porta 53 (TCP e UDP).

3 Observando o comportamento do SNAT

A partir do host1, abra pginas Web em um navegador. Se as configuraes no item anterior foram
feitas corretamente, dever haver comunicao com a Internet.
Enquanto abre pginas, faa uma captura de pacotes utilizando o TCPDump na interface WAN do
roteador. Observe como aparecem os endereos e explique.