Számítógépes Hálózatok GY 9.hét

Hasonló dokumentumok
Számítógépes Hálózatok GY 8.hét

Számítógépes Hálózatok

Számítógépes Hálózatok. 8. gyakorlat

Számítógépes hálózatok

Számítógépes Hálózatok GY 8.hét

Számítógépes Hálózatok GY 3.hét

IPTABLES. Forrás: Gregor N. Purdy: Linux iptables zsebkönyv

Tűzfal építés az alapoktól. Kadlecsik József KFKI RMKI

nftables Kadlecsik József MTA Wigner FK

Hálózatok építése és üzemeltetése

A netfilter csomagszűrő tűzfal

Netfilter. Csomagszűrés. Összeállította: Sallai András

Teszt topológia E1/1 E1/0 SW1 E1/0 E1/0 SW3 SW2. Kuris Ferenc - [HUN] Cisco Blog -

HBONE rendszergazdák tanácsa

Hálózatok építése és üzemeltetése

IPTABLES II. Jelenlegi tűzfalunk így néz ki (IPTABLES I. rész):

Számítógépes Hálózatok GY 2.hét

Hálózatok építése és üzemeltetése

Adatbiztonság a gazdaságinformatikában ZH december 7. Név: Neptun kód:

Netfilter: a jó, a rossz és a csúf. Kadlecsik József KFKI RMKI <kadlec@mail.kfki.hu>

Hálózati architektúrák és Protokollok PTI 6. Kocsis Gergely

Portforward beállítási segítség

Linux hálózati adminisztráció

Alap tűzfal otthoni PC-re (iptables I)

A Wireshark program használata Capture Analyze Capture Analyze Capture Options Interface

Routing IPv4 és IPv6 környezetben. Professzionális hálózati feladatok RouterOS-el

HOGYAN Packet Shaping - Gentoo Linux Wiki

Számítógépes Hálózatok GY 3-4.hét

Számítógépes Hálózatok GY 4.hét

Hálózati architektúrák és Protokollok PTI 5. Kocsis Gergely

Javaslat egy Iptables tűzfal konfigurációjára Számítógép hálózatok esszé Készítette : Veress Krisztián

Hálózati rendszerek adminisztrációja JunOS OS alapokon

Switch konfigurációs demo

Hálózati eszközök biztonsága

Hálózati architektúrák és Protokollok GI 8. Kocsis Gergely

Az iptables a Linux rendszerek Netfilter rendszermagjának beállítására szolgáló eszköz.

Széchenyi István Egyetem

Hálózati architektúrák és Protokollok GI 7. Kocsis Gergely

Ethernet/IP címzés - gyakorlat

Using the CW-Net in a user defined IP network

Kommunikációs rendszerek programozása. Switch-ek

Előnyei. Helyi hálózatok tervezése és üzemeltetése 2

Infokommunikációs hálózatok Mérési útmutató. Switch eszközök konfigurálása I. Óbudai Egyetem Kandó Kálmán Villamosmérnöki Kar Híradástechnika Intézet

A Sangoma Technologies Intelligens

Internet ROUTER. Motiváció

T?zfalak elméletben és gyakorlatban. Kadlecsik József KFKI RMKI

Hálózatok építése és üzemeltetése

Hálózatok építése és üzemeltetése

Hálózati architektúrák és Protokollok PTI 3. Kocsis Gergely

Hálózatok építése és üzemeltetése

Konfiguráljuk be a TCP/IP protokolt a szerveren: LOAD INETCFG A menüpontokból válasszuk ki a Proctcols menüpontot:

Az internet ökoszisztémája és evolúciója. Gyakorlat 1

Cisco Catalyst 3500XL switch segédlet

Az internet ökoszisztémája és evolúciója. Gyakorlat 4

III. előadás. Kovács Róbert

Az internet ökoszisztémája és evolúciója. Gyakorlat 4


Számítógépes hálózatok GY

Újdonságok Nexus Platformon

Számítógépes hálózatok GY

9. Gyakorlat: Network Load Balancing (NLB)

Hálózatok építése és üzemeltetése

Hálózati architektúrák és Protokollok Levelező II. Kocsis Gergely

1. Ismerkedés a Hyper-V-vel, virtuális gépek telepítése és konfigurálása

Számítógépes Hálózatok

Az internet ökoszisztémája és evolúciója. Gyakorlat 1

OpenBSD hálózat és NAT64. Répás Sándor

1. Kapcsolók konfigurálása

A 35/2016. (VIII. 31.) NFM rendelet szakmai és vizsgakövetelménye alapján.

Modbus kommunikáció légkondícionálókhoz

IP alapú kommunikáció. 3. Előadás Switchek 3 Kovács Ákos

Az egészségügyi munkaerő toborzása és megtartása Európában

Hálózati architektúrák laborgyakorlat

OpenBSD hálózat és NAT64. Répás Sándor

Ha a parancs argumentuma egy interfész, akkor csak a megadott interfészt beállításait jeleníti meg.

Organizáció. Számítógépes Hálózatok Gyakorlati jegy. Vizsga. Web-oldal

Hálózati architektúrák és Protokollok GI 6. Kocsis Gergely

1. Gyakorlat: Telepítés: Windows Server 2008 R2 Enterprise, Core, Windows 7

Az internet ökoszisztémája és evolúciója. Gyakorlat 2

Csatlakozás a BME eduroam hálózatához Setting up the BUTE eduroam network

Tájékoztató. Használható segédeszköz: -

Az Ethernet példája. Számítógépes Hálózatok Az Ethernet fizikai rétege. Ethernet Vezetékek

Számítógépes Hálózatok ősz 2006

Organizáció. Számítógépes Hálózatok ősz Tartalom. Vizsga. Web-oldal

IPv6 Biztonság: Ipv6 tűzfalak tesztelése és vizsgálata

MÉRÉSI JEGYZŐKÖNYV. Andrejkovics Imre (RI8HFG), Ferenczy Ádám (MRGSZ4), Kovács Gerely (GK2VSO) Mérés megrendelője: Derka István

routing packet forwarding node routerek routing table

Lokális hálózatok. A lokális hálózat felépítése. Logikai felépítés

Hogyan szűrjük a röntgensugarat?

Tűzfal megoldások. ComNETWORX nap, I. 30. ComNETWORX Rt.

Amennyiben argumentumként megadunk egy interfész nevet, úgy csak a megadott interfészt fogja kilistázni.

CISCO gyakorlati segédlet. Összeállította: Balogh Zoltán

2019/02/12 12:45 1/13 ACL

Számítógépes Hálózatok 2011

Hálózatok építése és üzemeltetése

Újdonságok Nexus Platformon

Hálózatok építése és üzemeltetése. Hálózatbiztonság 2.

Department of Software Engineering

2014 UNIVERSITAS SCIENTIARUM SZEGEDIENSIS UNIVERSITY OF SZEGED

Az alábbi állítások közül melyek a forgalomirányító feladatai és előnyei?

Átírás:

Számítógépes Hálózatok GY 9.hét Laki Sándor ELTE-Ericsson Kommunikációs Hálózatok Laboratórium ELTE IK - Információs Rendszerek Tanszék lakis@elte.hu http://lakis.web.elte.hu

Teszt 10 kérdés 10 perc canvas.elte.hu Kód: 2

iptables - topológia http://lakis.web.elte.hu/szh201819ii/mininet/minitopo.mn http://lakis.web.elte.hu/szh201819ii/mininet/minitopo.py 3

iptables Tables and Chains Each function provided by the netfilter architecture is presented as a table. netfilter Tables filter nat mangle This table is in charge of filtering packets. This table is in charge of translating IP addresses of the packets. This table is in charge of changing packet content. 3/9/2017 CSC4430 - Lab on iptables Page 4

iptables Tables and Chains Under each table, there are a set of chains. Under each chain, you can assign a set of rules. netfilter Tables filter nat mangle Chains INPUT PREROUTING INPUT PREROUTING OUTPUT POSTROUTING OUTPUT POSTROUTING FORWARD OUTPUT FORWARD 3/9/2017 CSC4430 - Lab on iptables Page 5

iptables Tables and Chains Chain name: INPUT Table name: filter The command: list There is one rule set in the INPUT chain. The other two chains. [csci4430@vm-a]$ sudo iptables t filter L Chain INPUT (policy ACCEPT) target prot opt source destination DROP icmp -- anywhere anywhere Chain FORWARD (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination [csci4430@vm-a]$ _ The rule in the INPUT chain means: When a packet with ICMP payload passes through the INPUT hook, DROP that packets, no matter it is from anywhere and to anywhere. 3/9/2017 CSC4430 - Lab on iptables Page 6

iptables Tables and Chains [csci4430@vm-a]$ sudo iptables -t filter -A INPUT --protocol icmp --jump DROP [csci4430@vm-a]$ sudo iptables t filter L Chain INPUT (policy ACCEPT) target prot opt source destination DROP icmp -- anywhere anywhere Chain FORWARD (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination [csci4430@vm-a]$ _ This entry shows that a new rule is added to the INPUT chain of the filter table successfully. Add a new rule to the INPUT chain. The protocol of the packets in which this rule is interested is ICMP. If a packet (1) passes through the INPUT hook, and (2) is an ICMP packet, then the packet jumps to the target DROP to discard the packet. 3/9/2017 CSC4430 - Lab on iptables Page 7

NAT Rules Set Up Your private network can access CUHK network and itself only. [csci4430@vm-a]$ sudo iptables -t nat -A POSTROUTING \ -s 10.0.<vm_group_id>.0/24 -d 137.189.0.0/16 \ -j MASQUERADE Your private network can only use SSH to reach the outside world! [csci4430@vm-a]$ sudo iptables -t nat -A POSTROUTING \ -p tcp -d! 10.0.<vm_group_id>.0/24 --dport 22 \ -j MASQUERADE 3/9/2017 CSC4430 - Lab on iptables Page 8

iptables More rules Clear all existing rules Flush all entries in the filter table iptables t filter F Flush all entries in the nat table iptables t nat -F Flush all entries in the mangle table iptables t mangle F List all entries in the nat table iptables t nat L Always take the manual for reference. 3/9/2017 CSC4430 - Lab on iptables Page 9

3. Feladat - tűzfalak Először: iptables.pdf A) ICMP tiltás Iptables t filter -I INPUT p icmp j DROP B) TCP port forwarding iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to 172.31.0.23:80 iptables -A FORWARD -i eth0 -p tcp --dport 80 -d 172.31.0.23 -j ACCEPT C) NAT simple eth1 is connected to the Internet iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE 10

Mininet Nézzük meg a test1.py-t: Egy LinuxBridge-et definiálunk, amellyel futtatni tudjuk a feszítőfa algoritmust (Spanning Tree Protocol, STP) hurkok kezelésére Hozzáadunk hosztokat is, privát IP címekkel Végül összekötjük ezeket a topológia alapján A h1 és s1 kapcsolat sávszélessége: 10 Mbps (alapból elvileg nem limitált, a TCLink osztály azért kell, hogy limitálni tudjuk) Indítsuk el: root@networks:/home/networks/computernetworks/l2-switching# vim test1.py root@networks:/home/networks/computernetworks/l2-switching# python test1.py mininet> Számítógépes Hálózatok Gyakorlat 8. 11

Mininet Elérhető csomópontok: mininet> nodes Az s1 switchről infót kaphatunk (brctl: ethernet bridge adminisztráció) mininet> sh brctl show Látszik, hogy nincs engedélyezve az STP A h1 h2 hostokon elindíthatunk egy-egy terminált: mininet> xterm h1 h2 Számítógépes Hálózatok Gyakorlat 8. 12

Mininet Itt lekérhetők az interface adatok, érdemes a mac címet megnézni! # ifconfig Írassuk ki az ARP tábla aktuális tartalmát: # arp Az s1 switch forwarding tábláját lekérdezhetjük a mininet konzolban: mininet> sh brctl showmacs s1 Számítógépes Hálózatok Gyakorlat 8. 13

Mininet Figyeljük a forgalmat minden interfészen! mininet konzolba írva: mininet> s1 tcpdump -n -i any Pingetés xterm ablakból - pl. h1 termináljából: (a h1 h2 nevek itt nem használhatók!) # ping 10.0.0.2 Írassuk ki az ARP tábla aktuális tartalmát: # arp Számítógépes Hálózatok Gyakorlat 8. 14

Mininet Közben látjuk a mininet konzolban, hogy mentek ARP üzenetek Pingetés mininet konzolból, pl.: Kilépés: mininet> h1 ping h2 mininet> exit Számítógépes Hálózatok Gyakorlat 8. 15

Mininet Indítsuk el a miniedit-et: Nyissuk meg a sw-topo.mn fájlt Hurkot tartalmaz! Indítsuk el: root@networks:/home/networks# mininet/examples/miniedit& root@networks:/home/networks/computernetworks/l2-switching# python sw-topo.py mininet> Számítógépes Hálózatok Gyakorlat 8. 16

Mininet Nézzük meg a switcheket a mininet konzolban: mininet> sh brctl show STP mindenhol ki van kapcsolva! h1 és h2 szomszédok mininet> h1 ping h2 Azt tapasztaljuk, hogy nagy a késés és csak néhány csomag megy át h1 és h4 távol vannak egymástól mininet> h1 ping h4 Csak sikertelen próbálkozás lesz, semmi se megy át Számítógépes Hálózatok Gyakorlat 8. 17

Mininet tcpdump-pal érdekes jelenség látható: mininet> sh tcpdump -n -i any Multicast üzenetek próbálják a hálózatot felderíteni Konklúzió: hurok van a hálózatban, nem igazán működik semmi Kilépés: mininet> exit Számítógépes Hálózatok Gyakorlat 8. 18

Mininet Indítsuk el újra --stp kapcsolóval: root@networks:/home/networks/computernetworks/l2-switching# python sw-topo.py --stp mininet> bridge állapot: mininet> sh brctl show STP információ az s2 switchhez: mininet> sh brctl showstp s2 Nézzük meg mit ír ki: ki a designated root, ki a designated bridge, mely portok blokkoltak (a körök kiszűrésére)? Számítógépes Hálózatok Gyakorlat 8. 19

Mininet Számítógépes Hálózatok Gyakorlat 8. 20

Vége Köszönöm a figyelmet! 21

2024 © DocPlayer.hu Adatvédelmi irányelvek | Szolgáltatási feltételek | Visszajelzés