IP forwarding Firewall e NAT

Documenti analoghi
IP forwarding Firewall e NAT

Protocollo ARP IP forwarding

ARP e instradamento IP

Instradamento IP A.A. 2005/2006. Walter Cerroni. IP: instradamento dei datagrammi. Routing : scelta del percorso su cui inviare i dati

Firewall e NAT A.A. 2005/2006. Walter Cerroni. Protezione di host: personal firewall

Internet Protocol Versione 4: instradamento e routing. Aspetti di forwarding e routing del protocollo IPv4

Instradamento in IPv4

Routing IP. Cosa è il Routing? Routing. Routing Diretto

4b. Esercizi sul livello di Rete Inoltro in IP

SUBNETTING E SUPERNETTING


INFOCOM Dept. Il routing

Politecnico di Milano Advanced Network Technologies Laboratory. Esercizi Inoltro

Packet Filter in LINUX (iptables)

Indirizzamento ed instradamento nelle reti IP

Firewall schema concettuale Principali livelli coinvolti

Cenni sull architettura protocollare TCP/IP

Lo strato di trasporto Firewall e NAT

Configurazione delle interfacce di rete

FIREWALL. Firewall - modello OSI e TCP/IP. Gianluigi Me. me@disp.uniroma2.it Anno Accademico 2005/06. Modello OSI. Modello TCP/IP. Application Gateway

Reti Locali (LAN) e Reti Locali Virtuali (VLAN)

Difesa perimetrale di una rete

INTRODUZIONE ALLE RETI: UN APPROCCIO PRATICO

Prova 2-8 Luglio 2016

RETI DI CALCOLATORI II

Introduzione. Il routing permette la comunicazione tra due nodi differenti anche se non sono collegati direttamente

Esercitazione 05. Sommario. Packet Filtering [ ICMP ] Esercitazione Descrizione generale. Angelo Di Iorio

Network Address Translation

Ad ogni host è assegnato un indirizzo IP o indirizzo Internet È un numero di 32 bit = 4 byte Unico in tutta Internet

Il protocollo IP. Reti di Telecomunicazioni LA Prof. Franco Callegati

ICMP ARP RARP DHCP -NAT

Sicurezza applicata in rete

NAT e PAT. Prof. Pier Luca Montessoro

Instradamento IP. Appunti di reti di computer. Prof. Marco Marchisotti. Istituto Superiore Ascanio Sobrero Casale Monferrato (AL)

netkit-static-routing Traduzione a cura di G. Ianni e G. Bennardo, Università della Calabria

Laboratorio di. Reti Informatiche. Corso di Laurea Triennale in Ingegneria Informatica A.A. 2016/2017. Ing. Niccolò Iardella

Il protocollo IP A.A. 2005/2006. Walter Cerroni. Internet Protocol (IP) - RFC 791

Tre catene (chains) di base, si possono definire altre catene (convenzionalmente in minuscolo)

Sicurezza applicata in rete

Prof. Filippo Lanubile

Routing IP A.A. 2006/2007. Walter Cerroni. Routing gerarchico in Internet

Reti di Calcolatori - Laboratorio. Lezione 8. Gennaro Oliva

Appello 18 Luglio Importante: usare lo spazio dopo ogni esercizio per le risposte. Esercizio 1 Esercizio 2 Esercizio 3 Domande Laboratorio

WAN / 24. L obiettivo è quello di mappare due server web interni (porta 80) associandoli agli indirizzi IP Pubblici forniti dall ISP.

L Inoltro e l Instradamento

Laboratorio di. Reti Informatiche. Corso di Laurea Triennale in Ingegneria Informatica A.A. 2016/2017. Ing. Niccolò Iardella

Seconda Prova in itinere Esempio

Packet Tracer: simulatore di RETE. (Router.pkt)

Crittografia e sicurezza delle reti. Firewall

Sicurezza nelle reti

maurizio pizzonia sicurezza dei sistemi informatici e delle reti. esercizi su sicurezza delle reti

Appello 13 Febbraio Tempo complessivo a disposizione per lo svolgimento: 2h Usare lo spazio dopo ogni Esercizio/Quesito per la risposta.

INTERNET PROTOCOL RFC 791

Filtraggio del traffico IP in linux

Il modello TCP/IP. Sommario

Antonio Cianfrani. Standard Access Control List (ACL)

TCP/IP: summary. Lorenzo Cavallaro, Andrea Lanzi

Transcript:

IP forwarding Firewall e NAT A.A. 2004/2005 Walter Cerroni

IP forwarding Linux può funzionare da gateway tra due o più reti IP host1 host2 linux-gw 192.168.10.0/24 192.168.11.0/24 Il kernel deve essere abilitato all IP forwarding: verifica: sysctl net.ipv4.ip_forward oppure: cat /proc/sys/net/ipv4/ip_forward restituisce 1 se abilitato, 0 altrimenti abilitazione: sysctl w net.ipv4.ip_forward=1 oppure: echo 1 > /proc/sys/net/ipv4/ip_forward disabilitazione: sysctl w net.ipv4.ip_forward=0 oppure: echo 0 > /proc/sys/net/ipv4/ip_forward 2

IP forwarding con aliasing Il forwarding è possibile anche tramite aliasing bisogna però gestire i messaggi ICMP di tipo redirect host1 può consegnare direttamente a host2 (1 hop) invece di passare attraverso host3 (2 hop) redirect è possibile impostare l invio dei redirect verifica: sysctl net.ipv4.conf.eth0.send_redirects cat /proc/sys/net/ipv4/conf/eth0/send_redirects abilitazione/disabilitazione: sysctl w net.ipv4.conf.eth0.send_redirects=[ 1 0 ] echo [ 1 0 ] > /proc/sys/net/ipv4/conf/eth0/send_redirects host1 host3 host2 192.168.11.0/24 192.168.10.0/24 3

Tabella di instradamento Necessaria per sapere come come inoltrare i pacchetti Informazioni contenute in ciascuna riga: indirizzo di destinazione: può essere un host o una network netmask: utilizzata per verificare la corrispondenza con la destinazione gateway: indica il tipo di consegna da effettuare (diretta o indiretta) nel caso di consegna indiretta indica l indirizzo del next-hop, cioè il gateway a cui inoltrare i pacchetti interfaccia di rete: specifica quale interfaccia di rete utilizzare (loopback compreso) metrica: specifica il costo di quella particolare route Table lookup eseguito per ogni datagramma host: solo quelli provenienti dagli strati superiori router: anche quelli in transito 4

Table lookup La ricerca nella tabella avviene utilizzando l indirizzo IP di destinazione del datagramma l indirizzo di destinazione e la netmask specificati in ciascuna riga della tabella Procedura: si esegue un operazione di AND bit per bit tra l indirizzo di destinazione del datagramma e la netmask di ciascuna riga il risultato viene confrontato con la destinazione specificata nella riga stessa: se coincidono, la riga è quella giusta il controllo viene effettuato a partire dalla riga che presenta una netmask con un numero maggiore di bit a uno: priorità alle route più specifiche (prima host, poi reti piccole, poi reti grandi longest-prefix match) una volta trovata la riga corrispondente, il lookup si ferma e il datagramma viene instradato secondo la modalità specificata se nessuna riga corrisponde, si usa il default gateway 5

Esempio di lookup 1 Destinazione Netmask Etc. 1 0.0.0.0 0.0.0.0 2 192.168.2.0 255.255.255.0 3 192.168.2.18 255.255.255.255 Datagramma con IP dest. = 192.168.2.18 Confronto prima con riga 3, poi con riga 2 e poi riga 1 192.168.002.018 bitwise AND 255.255.255.255 192.168.002.018 == 192.168.002.018 La riga 3 è quella giusta (host specific) 6

Esempio di lookup 2 Destinazione Netmask Etc. 1 0.0.0.0 0.0.0.0 2 192.168.2.0 255.255.255.0 3 192.168.2.18 255.255.255.255 Datagramma con IP dest. = 192.168.2.22 192.168.002.022 255.255.255.255 192.168.002.022!= 192.168.002.018 192.168.002.022 255.255.255.000 192.168.002.000 == 192.168.002.000 La riga 2 è quella giusta (network specific) 7

Esempio di lookup 3 Destinazione Netmask Etc. 1 0.0.0.0 0.0.0.0 2 192.168.2.0 255.255.255.0 3 192.168.2.18 255.255.255.255 Datagramma con IP dest. = 80.48.15.170 080.048.015.170 255.255.255.255 080.048.015.170!= 192.168.002.018 080.048.015.170 255.255.255.000 080.048.015.000!= 192.168.002.000 080.048.015.170 000.000.000.000 000.000.000.000 == 000.000.000.000 La riga 1 è quella giusta (default gateway) 8

Visualizzazione tabella di routing route print (Windows) Gateway = IP locale consegna diretta Gateway = loopback consegna agli strati superiori Altrimenti consegna indiretta tramite il gateway indicato 9

Visualizzazione tabella di routing route -n (Linux) Gateway = 0.0.0.0 & Iface = ethn consegna diretta Gateway = 0.0.0.0 & Iface = lo agli strati superiori Altrimenti consegna indiretta tramite il gateway indicato 10

Multi-homed host Se sono presenti più interfacce, c è una entry per ogni rete IP a cui si è connessi necessaria per eseguire correttamente la consegna diretta 11

Modifica della tabella di routing route add default gw <gateway> aggiunge il default gateway alla tabella di routing route add net <dest> netmask <mask> gw <gateway> dev <interface> route add host <dest> gw <gateway> dev <interface> aggiunge una entry alla tabella di routing specificandone i parametri (si omette gw <gateway> per forzare la consegna diretta) route del default route del net <dest> netmask <mask> route del host <dest> elimina le corrispondenti entry dalla tabella 12

Protezione di host: personal firewall Un firewall è un filtro software che serve a proteggersi da accessi indesiderati provenienti dall esterno della rete Può essere semplicemente un programma installato sul proprio PC che protegge quest ultimo da attacchi esterni Firewall Internet 13

Protezione di rete: firewall Oppure può essere una macchina dedicata che filtra tutto il traffico da e per una rete locale LAN Firewall Internet 14

Firewall: caratteristiche Tutto il traffico fra la rete locale ed Internet deve essere filtrato dal firewall Solo il traffico autorizzato deve attraversare il firewall Si deve comunque permettere che i servizi di rete ritenuti necessari siano mantenuti Il firewall deve essere per quanto possibile immune da problemi di sicurezza sull host In fase di configurazione di un firewall, per prima cosa si deve decidere la politica di default per i servizi di rete default deny: tutti servizi non esplicitamente permessi sono negati default allow: tutti i servizi non esplicitamente negati sono permessi 15

Livelli di implementazione Un firewall può essere implementato come Packet filter si interpone un router fra la rete locale ed Internet sul router si configura un filtro sui datagrammi IP da trasferire attraverso le varie interfacce il filtro scarta i datagrammi sulla base di Proxy server indirizzo IP e/o MAC sorgente o destinazione tipo di servizio (campo PROTOCOL o porta TCP/UDP) interfaccia di provenienza o destinazione nella rete protetta l accesso diretto ad Internet non è consentito a tutti gli host si interpone un server apposito detto proxy server per controllare gli accessi alla rete esterna il proxy server evita un flusso diretto di datagrammi fra Internet e le macchine della rete locale 16

Utilizzo di packet filter e proxy server LAN interna DMZ Packet Filter Proxy Internet Router e/o Packet filter 17

2026 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back