Chương 1. Internet & kết nối liên mạng với giao thức IP
1.5 Các bài thực hành kết nối liên mạng
1.5.1 Bài số 1: Cấu hình liên mạng với các router
Bài này yêu cầu thiết lập kết nối nhiều mạng với nhau bằng các router và một kết nối chung để đưa các mạng này ra Internet như sơ đồ bên dưới
Hình vẽ 1: Sơ đồ kết nối các mạng qua router và kết nối Internet
> route add -net 192.168.2.0 netmask 255.255.255.0 gw 203.162.2.10
> route add -net 192.168.56.0 netmask 255.255.255.0 gw 203.162.1.15
> route -n
Kernel IP routing table
DestinationGatewayGenmaskFlags Metric Ref Use Iface
Khi tạo các máy ảo trong VirtualBox để làm các router, chú ý kiểm tra địa chỉ MAC của các máy không được trùng nhau, nếu gặp phải tình huống khi ping xuất hiện gói tin DUP!
(duplicate) thì cần kiểm tra lại khả năng này.
Thiết lập thông số mạng cho router R1. Chú ý kiểm tra địa chỉ MAC và cập nhật đúng tham số HWADDR trong các file cấu hình mặc định địa chỉ IP cho các card mạng:
Thiết lập bảng routing để router R1 có thể chuyển tiếp gói tin đến các mạng không trực tiếp là 192.168.2.0 và 192.168.56.0:
203.162.2.0 0.0.0.0 255.255.255.0 U 0 0 0 eth2 203.162.1.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1 192.168.2.0 203.162.2.10 255.255.255.0 UG 0 0 0 eth2 203.162.10.0 0.0.0.0 255.255.255.0 U 0 0 0 eth3 192.168.56.0 203.162.1.15 255.255.255.0 UG 0 0 0 eth1
Thiết lập thông số mạng cho router R2:
> cat /etc/sysconfig/network-scripts/ifcfg-eth1 DEVICE=eth1
HWADDR=08:00:27:96:4A:E6 IPADDR=203.162.1.1 NETMASK=255.255.255.0
> cat /etc/sysconfig/network-scripts/ifcfg-eth2 DEVICE=eth2
HWADDR=08:00:27:D7:D8:3E IPADDR=203.162.2.1 NETMASK=255.255.255.0
> cat /etc/sysconfig/network-scripts/ifcfg-eth3 DEVICE=eth3
HWADDR=08:00:27:68:85:C1 IPADDR=203.162.10.17 NETMASK=255.255.255.0
> cat /etc/sysconfig/network-scripts/ifcfg-eth1 DEVICE=eth1
HWADDR=08:00:27:72:F9:9A IPADDR=192.168.2.1 NETMASK=255.255.0.0
> cat /etc/sysconfig/network-scripts/ifcfg-eth2 DEVICE=eth2
HWADDR=08:00:27:7F:68:E4 IPADDR=203.162.2.10 NETMASK=255.255.255.0
> route add -net 203.162.1.0 netmask 255.255.255.0 gw 203.162.2.1
> route add -net 192.168.56.0 netmask 255.255.255.0 gw 203.162.2.1
> route add -net 0.0.0.0 gw 203.162.2.1
> route -n
Kernel IP routing table Destination
203.162.2.0 203.162.1.0 192.168.56.0 192.168.0.0
Gateway 0.0.0.0
Genmask Flags Metric Ref Use Iface 255.255.255.0 U0
203.162.2.1255.255.255.0 UG 203.162.2.1255.255.255.0 UG 0.0.0.0255.255.0.0U0
0 0 0 0
0 0
0 eth2 0 eth2 0 eth2 0.0.0.0203.162.2.10.0.0.0UG 00
0 eth1 0 eth2
> route add -net 192.168.2.0 netmask 255.255.255.0 gw 203.162.1.1
> route add -net 203.162.2.0 netmask 255.255.255.0 gw 203.162.1.1
> route add -net 0.0.0.0 gw 203.162.1.1
> route -n
Kernel IP routing table Destination
203.162.2.0 203.162.1.0 192.168.2.0 192.168.56.0
GatewayGenmask Flags Metric Ref Use Iface 203.162.1.1255.255.255.0 UG
0.0.0.0 255.255.255.0 U0 203.162.1.1255.255.255.0 UG 0.0.0.0255.255.255.0 U0
0 0 0 0
0 0 eth2 0 eth2
0.0.0.0203.162.1.10.0.0.0UG 00
00 eth2 0 eth1 0 eth2
Thiết lập bảng routing để router R2 có thể chuyển tiếp gói tin đến các mạng không trực tiếp là 203.162.1.0 và 192.168.56.0. Ngoài ra, thiết lập đường định tuyến mặc định ra Internet (địa chỉ IP là 0.0.0.0):
Thiết lập thông số mạng cho router R3:
Thiết lập bảng routing để router R3 có thể chuyển tiếp gói tin đến các mạng không trực tiếp là 203.162.2.0 và 203.162.2.0. Ngoài ra, thiết lập đường định tuyến mặc định ra Internet (địa chỉ IP là 0.0.0.0):
Các router được cài đặt bằng máy Linux CentOS. Cần bật chế độ routing trong nhân Linux. Chế độ này được xác định bằng tham số net.ipv4.ip_forward. Để kiểm tra hệ thống
> cat /etc/sysconfig/network-scripts/ifcfg-eth1 DEVICE=eth1
HWADDR=08:00:27:8E:98:5E IPADDR=192.168.56.2 NETMASK=255.255.255.0
> cat /etc/sysconfig/network-scripts/ifcfg-eth2 DEVICE=eth2
HWADDR=08:00:27:92:C4:8A IPADDR=203.162.1.15 NETMASK=255.255.255.0
hiện đang ở chế độ routing hay không, dùng lệnh sysctl -p. Để thiết lập lại thông số net.ipv4.ip_forward, dùng lệnh sysctl -w. Có thể thiết lập mặc định bằng thông số net.ipv4.ip_forward trong file cấu hình khởi động /etc/sysctl.conf:
Vì lý do an ninh, mặc định tường lửa trong nhân Linux không cho phép chuyển tiếp các gói tin. Thay vào đó, mỗi khi có gói tin bất kỳ gửi đến và yêu cầu chuyển tiếp, nhân Linux sẽ hủy bỏ (reject) và gửi lại cho trạm nguồn một gói tin ICMP thông báo không cho phép gói tin đi qua. Điều này được nhận thấy khi R2 thực hiện lệnh ping đến R3, gói tin cần chuyển tiếp qua router R1, trạm nguồn sẽ nhận được thông tin phản hồi từ router R1 là “Destination Host Prohibited”:
Để tắt chế độ chặn chuyển tiếp gói tin, có thể tắt chức năng tường lửa của router hoặc tắt luật chặn chuyển tiếp gói tin trong tường lửa router (tham khảo chương Tường lửa để hiểu thêm các chức năng này). Ở đây ta muốn sử dụng chức năng tường lửa để log các gói tin đi qua nên chỉ tắt luật chặn chuyển tiếp gói tin:
> sysctl -p
net.ipv4.ip_forward = 0
net.ipv4.conf.default.rp_filter = 1
net.ipv4.conf.default.accept_source_route = 0 kernel.sysrq = 0
kernel.core_uses_pid = 1 net.ipv4.tcp_syncookies = 1 kernel.msgmnb = 65536 kernel.msgmax = 65536 kernel.shmmax = 68719476736 kernel.shmall = 4294967296
> sysctl -w net.ipv4.ip_forward=1 net.ipv4.ip_forward = 1
> cat /etc/sysctl.conf | grep ipv4 net.ipv4.ip_forward = 1
net.ipv4.conf.default.rp_filter = 1
net.ipv4.conf.default.accept_source_route = 0 net.ipv4.tcp_syncookies = 1
net/ipv4/conf/all/proxy_arp = 1
[203.162.2.10]> ping 203.162.1.15
PING 203.162.1.15 (203.162.1.15) 56(84) bytes of data.
From 203.162.2.1 icmp_seq=1 Destination Host Prohibited From 203.162.2.1 icmp_seq=2 Destination Host Prohibited From 203.162.2.1 icmp_seq=3 Destination Host Prohibited
Trang 70
> iptables-save
# Generated by iptables-save v1.4.7 on Wed Nov 25 19:58:52 2015
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
Trang 70
:OUTPUT ACCEPT [255:31593]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT -A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited COMMIT
# Completed on Wed Nov 25 19:58:52 2015
> iptables -D INPUT -j REJECT --reject-with icmp-host-prohibited
> iptables -D FORWARD -j REJECT --reject-with icmp-host-prohibited
Trên R1, thực hiện ghi log các gói tin được chuyển tiếp (FORWARD):
Trên R2 và R3, thực hiện gi log các gói tin được gửi đi:
Có thể thiết lập mặc định các luật của iptables trong file config /etc/sysconfig/iptables:
Tại các router, sử dụng tail -f để hiển thị thông tin log. Đứng tại R2, ping sang R3:
> iptables -A FORWARD -j LOG
> iptables -A OUTPUT -j LOG
> cat /etc/sysconfig/iptables
# Firewall configuration written by system-config-firewall
# Manual customization of this file is not recommended.
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT -A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
# -A INPUT -j REJECT --reject-with icmp-host-prohibited
# -A FORWARD -j REJECT --reject-with icmp-host-prohibited -A FORWARD -j LOG
COMMIT
Trang 74
Có thể thấy các gói tin ICMP được gửi qua lại giữa các router:
[203.162.1.15]# ping 203.162.2.10
PING 203.162.2.10 (203.162.2.10) 56(84) bytes of data.
64 bytes from 203.162.2.10: icmp_seq=1 ttl=63 time=2.30 ms 64 bytes from 203.162.2.10: icmp_seq=2 ttl=63 time=1.71 ms 64 bytes from 203.162.2.10: icmp_seq=3 ttl=63 time=1.47 ms 64 bytes from 203.162.2.10: icmp_seq=4 ttl=63 time=0.905 ms 64 bytes from 203.162.2.10: icmp_seq=5 ttl=63 time=1.70 ms 64 bytes from 203.162.2.10: icmp_seq=6 ttl=63 time=1.11 ms
Trang 75
[203.162.1.15]# tail -f /var/log/messages
Nov 25 23:04:01 mydomain kernel: IN= OUT=eth2 SRC=203.162.1.15 DST=203.162.2.10 LEN=84 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=ICMP TYPE=8 CODE=0 ID=29447 SEQ=2
[203.162.1.1]# tail -f /var/log/messages
Nov 26 03:30:50 vn kernel: IN=eth1 OUT=eth2 SRC=203.162.1.15 DST=203.162.2.10 LEN=84 TOS=0x00 PREC=0x00 TTL=63 ID=0 DF PROTO=ICMP TYPE=8 CODE=0 ID=30215 SEQ=1
Nov 26 03:30:50 vn kernel: IN=eth2 OUT=eth1 SRC=203.162.2.10 DST=203.162.1.15 LEN=84 TOS=0x00 PREC=0x00 TTL=63 ID=21868 PROTO=ICMP TYPE=0 CODE=0 ID=30215 SEQ=1
Nov 26 03:30:51 vn kernel: IN=eth1 OUT=eth2 SRC=203.162.1.15 DST=203.162.2.10 LEN=84 TOS=0x00 PREC=0x00 TTL=63 ID=0 DF PROTO=ICMP TYPE=8 CODE=0 ID=30215 SEQ=2
Nov 26 03:30:51 vn kernel: IN=eth2 OUT=eth1 SRC=203.162.2.10 DST=203.162.1.15 LEN=84 TOS=0x00 PREC=0x00 TTL=63 ID=21869 PROTO=ICMP TYPE=0 CODE=0 ID=30215 SEQ=2
[203.162.2.10]# tail -f /var/log/messages
Nov 25 23:08:59 mydomain2 kernel: IN= OUT=eth2 SRC=203.162.2.10 DST=203.162.1.15 LEN=84 TOS=0x00 PREC=0x00 TTL=64 ID=21872 PROTO=ICMP TYPE=0 CODE=0 ID=30471 SEQ=1
Nov 25 23:09:00 mydomain2 kernel: IN= OUT=eth2 SRC=203.162.2.10 DST=203.162.1.15 LEN=84 TOS=0x00 PREC=0x00 TTL=64 ID=21873 PROTO=ICMP TYPE=0 CODE=0 ID=30471 SEQ=2