Файл: Методические рекомендации к лабораторным работам для студентов направления подготовки.pdf

24
После этого установим службу DNS сервера Bind9 при помощи команды sudo aptitude install bind9.
Задание
1 Выясните примерное географическое месторасположение корневых серве- ров имен (можно воспользоваться одним из сервисов whois).
2 Настройте DNS сервер на базе Windows Server 2016 (в качестве forward сервера рекомендуется использовать DNS-сервера 192.168.128.1 или
192.168.128.5). Настройка и управление DNS-сервером осуществляется через консоль управления dnsmgmt.
3 Проверьте работоспособность настроенного сервиса.
4 При помощи сниффера wireshark исследуйте механизм работы утилиты nslookup.
5 Сделайте выводы. Подготовьте отчет с результатами проделанной работы.
Контрольные вопросы
1 Что такое DHCP сервер?
2 Что такое DNS сервер?
3 Способы настройки динамического обновления зон DNS сервером.
4 Какие вы знаете зоны DNS сервера.
10 Лабораторная работа № 10. Маршрутизация в ОС Linux.
Межсетевое экранирование в Linux
Цель работы: получить сведения о маршрутизации и научиться добавлять маршруты в таблицу маршрутизации.
В сетях, основанных на протоколе IP, концепция маршрутизации является одной из важных. Она создает или разбивает сеть. Неправильная конфигурация маршрутизации способна вывести из строя сеть.
Маршрутизация – технология определения пути доставки (маршрута) пакетов.
Каждая операционная система, поддерживающая стек TCP/IP, имеет маршрутизатор и таблицу маршрутизации.
Таблица маршрутизации используется только тогда, когда определяется, как доставлять пакеты.
Маршрутизация должна быть сконфигурирована корректно на обоих концах связи и на каждом участке между ними.
Для определения пути доставки пакета используется таблица маршрути- зации. Пример таблицы маршрутизации можно получить командой route с параметром print (рисунок 1).
В общем случае для маршрутизации используется следующий алгоритм.
Из пакета извлекается IP-адрес назначения пакета и производится попытка

25 сопоставить его с адресом назначения (Сетевой адрес) каждого элемента таблицы маршрутизации, пока не найдется наилучшее совпадение. Если совпадений не найдено, то пакет удаляется и отправителю пакета может отправиться сообщение об ошибке. Сравнение производится с тремя порциями информации: Сетевой адрес (Network Destination), Маска сети (Netmask) и IP-адрес назначения пакета.
Рисунок 1 – Пример таблицы маршрутизации
В основном, производится побитная операция AND между IP-адресом получателя и Маской сети (Netmask): если полученное значение равно
Сетевому адресу (Network Destination), то считается, что совпадение найдено.
Обычно VRF (Virtual Routing and Forwarding, VPN Routing and Forwarding) используется совместно с MPLS, в терминологии Cisco называется VRF-Lite. Суть этой технологии в том, что маршрутная информация, принадлежащая различным классам (например, маршруты одного клиента), изолируется друг от друга.
Типы маршрутов, таблицы маршрутизации и PBR в Linux. Прежде чем понять суть происходящего, познакомимся с некоторыми отличительными чертами сетевого стека Linux.
Первый отличительный момент – это специальные типы маршрутов. Когда
IP-пакет приходит с какого-нибудь интерфейса, надо определить, адресован ли он этому хосту, или другому. Определяется это довольно элегантно – просто для адреса назначения ищется нужный маршрут в таблицах маршрутизации. Если пакет попадает на маршрут типа «local», значит он адресован непосредственно хосту, если нет, то значит, его надо маршрутизировать дальше (при этом дальнейший маршрут уже известен) или сделать что-то ещё, в зависимости от типа маршрутов. На данный момент поддерживается несколько типов маршру- тов (подробнее о них можно посмотреть в справке ip-route). Нас в данный момент интересуют только маршруты следующих типов. unicast – обычный маршрут. local – адрес назначения находится на данном хосте. После того, как выяснится, что пакет попадает на этот маршрут, будет производиться поиск подходящего сокета для него.

26 broadcast – широковещательный маршрут. Для входящих пакетов, попадающих на этот маршрут, практически нет отличий от маршрута local, за исключением дополнительных проверок на игнорирование широковещательных пакетов. Для исходящих же есть небольшое отличие: в заголовке канального уровня также выставляется широковещательный адрес назначения при использовании широковещательных сетей. unreachable – запрещающий маршрут. Для пакетов, попадающих на этот маршрут будет отослан отправителю icmp-пакет с сообщением о недоступности. prohibit – подобен типу unreachable, только сообщение будет отправлено другое. blackhole – пакет на этом маршруте будет молча отброшен.
Таким образом, для маршрутизации транзитных пакетов нам достаточно наличия маршрута типа unicast, а для того, чтобы хост мог отвечать на пакеты, нужны ещё маршруты типов local и, опционально, broadcast. Ещё следует учесть то, что нам также нужны маршруты direct-connected сетей для того, чтобы обеспечить связность с соседними маршрутизаторами.
Маршруты сгруппированы в таблицы маршрутизации. По-умолчанию изначально в системе присутствуют три таблицы:
1) local (255) – в этой таблице находятся локальные и широковещательные маршруты. Эта таблица обслуживается автоматически и генерируется на основе адресов, назначенных интерфейсам;
2) main (254) – основная таблица маршрутизации. Автоматически в неё добавляются direct-connected маршруты. Если в параметрах утилиты IP не указана таблица маршрутизации, то подразумевается таблица main;
3) default (253) – таблица для маршрутов по-умолчанию.
Имена таблиц хранятся в файле /etc/iproute2/rt_tables. Под номер таблицы отдано 32 бита, но максимальное количество таблиц в данный момент жёстко ограничено числом 256.
Таблица, в которой надо искать маршруты, определяется политиками маршрутизации. Эта технология называется Policy Based Routing – маршрути- зация на основе политик. Суть её в том, что основываясь на каких-либо критериях сетевого пакета, мы либо выбираем таблицу, в которой надо искать маршрут, либо определяем действие, которое надо выполнить над пакетом.
Каждая политика имеет номер (он может быть даже не уникальным), он же определяет приоритет. Просмотр политик осуществляется в порядке возраста- ния их приоритетов. Новые политики добавляются перед существующими.
На данный момент «критериями» политики являются:
– адреса источника и/или назначения;
– значение поля tos;
– интерфейс, с которого получен пакет;
–интерфейс, к которому привязан сокет;
– метка файерволла.
Каждая политика имеет тип, который определяет действие над пакетом, если он под неё попадает: unicast – используется по-умолчанию, при этом будет производиться поиск

27 маршрута в заданной таблице маршрутизации; blackhole/prohibit/unreachable – по действиям аналогичны соот- ветствующим типам маршрутов; nat – трансляция адресов без учёта состояний практически не используется.
Задание
Создайте новый маршрут для вашего компьютера и проследите его.
1 Запустите виртуальную машину и загрузите ОС Windows.
2 Откройте консоль (Пуск/Программы/Стандартные/Командная строка).
3 Определите IP-адрес вашего компьютера с помощью утилиты ipconfig.
4 Просмотрите таблицу маршрутизации на вашем компьютере: выведите справку по команде route (для этого необходимо ввести команду и нажать кла- вишу ENTER); выведите таблицу маршрутизации командой route с парамет- ром PRINT: route PRINT; запомните маршрут по умолчанию (первая строка).
5 Проследите работу маршрутизатора с помощью утилиты TRACERT, отправив пакеты на узел www.opennet.ru. Введите: tracert www.opennet.ru.
6 Добавьте в таблицу маршрутизации компьютера строку для пересылки пакетов в сеть 172.21.0.0 (маска 255.255.0.0) через сетевой интерфейс компью- тера. Введите: route add 172.21.0.0 mask 255.255.0.0 192.168.1.4 METRIC 3.
7
Проверьте работу внесенных вами изменений с помощью утилиты TRACERT.

Контрольные вопросы
1 Назовите типы маршрутов.
2 Что такое таблица маршрутизации?
3 Что такое метрика в таблице маршрутизации?
4 Что такое шлюз?
5 Что такое адрес шлюза?
11 Лабораторная работа № 11. Обеспечение доступа
в сеть Интернет
Цель работы: изучить различные варианты подключения к сети Интернет через локальную сеть, используя программные средства.
Постановка задачи. Имеется локальная сеть (Workstantion 1 – Workstantion 2), представленная на рисунке 2. На компьютере (шлюзе), через который плани- руется подключение локальной сети к Интернету, необходимо наличие двух сетевых адаптеров (подключений). Требуется обеспечить доступ к сети
Интернет со всех рабочих станций.
Имеются три основных варианта подключения локальной сети к
Интернету: «прямое» IP-подключение, подключение через NAT, подключение

28 через прокси-сервер. Рассмотрим преимущества, недостатки и область применения каждого метода, а также некоторые возникающие нюансы. Выбор конкретного способа подключения зависит от потребностей пользователей, цели подключения и, в некоторой степени, финансовых возможностей.
Рисунок 2 – Локальная сеть
Итак, компьютер Workstantion 1. У него есть доступ как к Интернету, так и к локальной сети. Наша задача – дать компьютерам локальной сети доступ к
Интернету через подключенный к нему компьютер. Далее этот компьютер мы будем называть шлюзом или маршрутизатором.
Рассмотрение способов мы начнем с наименее часто использующегося, наиболее дорогого, но также наиболее «правильного» и естественного способа, дающего наибольшие по сравнению с другими способами возможности.
«Прямое» IP-подключение к Интернету. Для того, чтобы ваша локальная сеть была полноценно подключена к Интернету, должны соблюдаться, как минимум, три условия: каждая машина в локальной сети должна иметь
«реальный», IP-адрес в сети Интернет; эти адреса должны быть не любыми, а выделенными вашим провайдером для вашей локальной сети (скорее всего, это будет подсеть класса C); на компьютере-шлюзе, подключенном к двум сетям – локальной сети и сети провайдера, должна быть организована IP-маршру- тизация, т. е. передача пакетов из одной сети в другую. В этом случае Ваша локальная сеть становится как бы частью Интернета. Собственно, это тот способ подключения, которым подключены к Интернету сами Интернет- провайдеры и хостинг-провайдеры. В отличие от обычного подключения, рассчитанного на один компьютер, при таком подключении «под клиента» выделяется не один IP-адрес, а несколько, так называемая «IP-подсеть».
При таком способе подключения вы можете организовать в своей сети сервисы, доступные из Интернета – ведь при данном подключении не только
Интернет полностью доступен из вашей сети, но и ваша сеть – из Интернета, т. к. является его частью. Однако такая «прозрачность» вашей сети резко снижает ее защищенность – ведь любые сервисы в локальной сети, даже

29 предназначенные для «внутреннего» использования, станут доступными извне через Интернет. Чтобы это не имело места, доступ в локальную сеть извне несколько ограничивают. Обычно это делается установкой на шлюзе программы-firewall. Это своеобразный фильтр пакетов, проходящих из одной сети в другую. Путем его настройки можно запретить вход-выход из локальной сети пакетов, соответствующих определенным критериям – типу IP-пакета,
IP-адресу назначения, TCP/UDP-порту и т. п.
Firewall решает такие задачи, как:
– блокировку доступа извне к определенным TCP/IP-сервисам локальной сети;
– блокировку доступа к определенным компьютерам локальной сети, таким образом, можно запретить доступ извне ко всем машинам, кроме определенных серверов, предназначенных для доступа в Интернет;
– защиту от троянских программ на сетевом уровне.
Несмотря на универсальность такого метода подключения локальной сети к Интернету, этот метод имеет недостатки. Его используют только лишь те организации, которым надо сделать свои сервера доступными из Интернета – в основном, те же Интернет-провайдеры и хостинг-провайдеры, а также информационные службы. Самый главный недостаток заключается в доро- говизне выделения IP-адресов и уж тем более IP-подсетей, к тому же эту плату надо вносить периодически.
Поэтому на практике рассмотрим другие способы, не требующие больших затрат и, что самое главное, позволяющие подключить локальную сеть через обычное подключение с одним внешним IP-адресом.
Подключение через NAT (IP-маскарадинг). Технология Network Address
Translation (NAT) – «трансляция сетевых адресов» позволяет нескольким маши- нам локальной сети иметь доступ к Интернету через одно подключение и один реальный внешний IP-адрес. Для того, чтобы компьютеры локальной сети могли устанавливать соединения с серверами сети Интернет, нужно, чтобы:
IP-пакеты, адресованные серверу в Интернете, смогли его достигнуть; ответные
IP-пакеты, идущие от сервера Интернета на машину в локальной сети, также смогли ее достигнуть.
С первым условием проблем не возникает, а как быть со вторым? Ведь компьютеры локальной сети не имеют своего «реального» IP-адреса в
Интернете! Как же они могут получать IP-пакеты из Интернета?
А работает это следующим образом – на компьютере-шлюзе стоит программа NAT-сервера. Компьютер-шлюз прописан на машинах локальной сети как «основной шлюз», и на него поступают все пакеты, идущие в Интернет
(не адресованные самой локальной сети). Перед передачей этих IP-пакетов в
Интернет NAT-сервер заменяет в них IP-адрес отправителя на свой, одновременно запоминая у себя, с какой машины локальной сети пришел этот
IP-пакет. Когда приходит ответный пакет (на адрес шлюза, конечно), NAT определяет, на какую машину локальной сети его надо направить. Затем в полученном пакете меняется адрес получателя на адрес нужной машины, и пакет доставляется этой машине через локальную сеть.
Как видим, работа NAT-сервера прозрачна для машин локальной сети (как