Differences
This shows you the differences between two versions of the page.
|
rl:labs:07:contents:08 [2020/11/19 08:53] iulia.florea |
rl:labs:07:contents:08 [2023/11/05 12:44] (current) vlad_iulius.nastase |
||
|---|---|---|---|
| Line 1: | Line 1: | ||
| - | ==== 08. [10p] IPv6 ==== | + | ==== 8. [10p] Permitere trafic SSH ==== |
| - | Dorim să asigurăm conectivitate IPv6 între stația host și red. În acest tutorial vom folosi suita ''iproute'' din Linux pentru a realiza configurările necesare. | + | În acest moment, traficul SSH către stația ''green'' este blocat. |
| - | Folositi parametrul ''-6'' pentru a face setarile aferente IPv6. | + | |
| - | Vom configura câte o adresă IP din clasa ''2210::/64'' pe interfețele de legătură dintre stația ''host'' și stația ''red''. Adică între ''host(veth-red)'' (interfața ''veth-red'' de pe stația ''host'') și ''red(eth0)'' (interfața ''eth0'' de pe stația ''red''). | + | Dorim să permitem traficul SSH **de la** stația ''red'' **către** stația ''green''. Adăugați o regulă corespunzătoare pe stația ''host''. |
| - | Pe interfața ''veth-red'' de pe stația ''host'' vom configura adresa IP ''2210::1/64'' | + | <hidden> |
| + | <solution> | ||
| <code bash> | <code bash> | ||
| - | root@host:~# ip -6 address add 2210::1/64 dev veth-red | + | root@host:~# iptables -A FORWARD -s red -d green -p tcp --dport ssh -j ACCEPT |
| </code> | </code> | ||
| + | </solution> | ||
| + | </hidden> | ||
| - | Imediat după o configurare de rețea rulați o comandă pentru validarea configurării. În cazul nostru este comanda de afișare a adresei IPv6: | + | După ce ați adăugat regula, încercați realizarea unei conexiuni SSH de la stația ''red'' la stația ''green''. Observați că nu se realizează conexiunea. |
| + | |||
| + | <hidden> | ||
| + | <solution> | ||
| <code bash> | <code bash> | ||
| - | root@host:~# ip -6 address show dev veth-red | + | root@red:~# ssh green |
| - | 47: veth-red: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 state UP qlen 1000 | + | ^C |
| - | inet6 2201::1/64 scope global | + | |
| - | valid_lft forever preferred_lft forever | + | |
| - | inet6 fe80::215:5dff:fe5b:a38e/64 scope link | + | |
| - | valid_lft forever preferred_lft forever | + | |
| </code> | </code> | ||
| + | </solution> | ||
| + | </hidden> | ||
| - | Pe interfața ''eth0'' de pe stația ''red'' vom configura adresa IP ''2201::2/64'': | + | Afișați lista de reguli ''iptables'' de pe stația ''host''. De ce nu a reușit conexiunea? Țineți cont de ordinea regulilor afișate; sunt parcurse secvențial. |
| <hidden> | <hidden> | ||
| + | <solution> | ||
| <code bash> | <code bash> | ||
| - | root@host:~# go red | + | root@host:~# iptables -L FORWARD -n -v |
| - | [...] | + | root@host:~# iptables -L FORWARD -n -v |
| - | root@red:~# ip -6 address add 2201::2/64 dev eth0 | + | Chain FORWARD (policy ACCEPT 0 packets, 0 bytes) |
| - | root@red:~# ip -6 address show dev eth0 | + | pkts bytes target prot opt in out source destination |
| - | 46: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 state UP qlen 1000 | + | 6 360 REJECT all -- * * 192.168.1.2 0.0.0.0/0 reject-with icmp-port-unreachable |
| - | inet6 2201::2/65 scope global | + | 0 0 ACCEPT tcp -- * * 192.168.1.2 192.168.2.2 tcp dpt:22 |
| - | valid_lft forever preferred_lft forever | + | |
| - | inet6 fe80::891:5dff:fe5b:a38e/64 scope link | + | |
| - | valid_lft forever preferred_lft forever | + | |
| </code> | </code> | ||
| + | Regulile sunt parcurse secvențial. Conform primei reguli, tot traficul transmis de stația ''red'' este blocat. A doua regulă nu mai este parcursă. Trebuie să mutăm a doua regulă pe prima poziție. | ||
| + | </solution> | ||
| </hidden> | </hidden> | ||
| - | Configurați pe legătura host-blue adrese IPv6 din rețeaua 2202::/64 și pe legătura host-green adrese IPv6 din rețeaua 2203::/64. | + | Pentru rezolvarea problemei ștergeți regula ''iptables'' introdusă anterior și **inserați** regula pe stația ''host''. Pentru inserare folosiți opțiunea ''-I'' a comenzii ''iptables''. Verificați că acum conexiunea SSH între ''red'' și ''green'' va fi realizată. |
| - | Activați rutarea și verificați conectivitatea între containere folosind comanda **ping**. | + | |
| + | <note hint> | ||
| + | Pentru a șterge o regulă puteți folosi opțiunea ''-D''. | ||
| + | |||
| + | Pentru a insera o regulă folosiți opțiunea ''-I'' urmată de numele lanțului (''INPUT'', ''OUTPUT'' sau ''FORWARD''), urmată de indexul poziției unde doriți plasată regulă (1, 2, 3, ...) și apoi urmată de specificarea regulii. | ||
| + | </note> | ||
| + | |||
| + | <hidden> | ||
| + | <solution> | ||
| + | <code bash> | ||
| + | root@host:~# iptables -D FORWARD -s red -d green -p tcp --dport ssh -j ACCEPT | ||
| + | root@host:~# iptables -I FORWARD -s red -d green -p tcp --dport ssh -j ACCEPT | ||
| + | |||
| + | root@host:~# iptables -L FORWARD -n -v | ||
| + | Chain FORWARD (policy ACCEPT 0 packets, 0 bytes) | ||
| + | pkts bytes target prot opt in out source destination | ||
| + | 0 0 ACCEPT tcp -- * * 192.168.1.2 192.168.2.2 tcp dpt:22 | ||
| + | 6 360 REJECT all -- * * 192.168.1.2 0.0.0.0/0 reject-with icmp-port-unreachable | ||
| + | |||
| + | root@red:~# ssh -l student green | ||
| + | student@green's password: | ||
| + | Welcome to Ubuntu 12.04.3 LTS (GNU/Linux 3.2.0-53-generic-pae i686) | ||
| + | |||
| + | * Documentation: https://help.ubuntu.com/ | ||
| + | Last login: Thu Nov 14 14:18:53 2013 from 192.168.1.2 | ||
| + | student@green:~$ logout | ||
| + | Connection to green closed. | ||
| + | </code> | ||
| + | </solution> | ||
| + | </hidden> | ||
