Professional Documents
Culture Documents
NATdeentrada:
#iptablestnatAPREROUTINGptcpdport80d
192.168.1.100jDNATto10.0.0.1
Aregraanteriordizquetudoquechegarparaaporta80
TCPdamquina192.168.1.100serredirecionadoparaa
mesmaportadamquina10.0.0.1.
RemovertodasasregrasdeNAT:#iptablestnatF
Maisdetalhes:http://eriberto.pro.br/iptables.
6.tcpdump
Mostrartodootrfego,semresolvernomes,naprimeira
interfacelistadacom#ifconfigoucom#tcpdumpD:
#tcpdumpn
Mostrartodootrfego,semresolvernomes,naeth1:
#tcpdumpnieth1
Mostrartodootrfego,semresolvernomes,emqualquer
interface:
#tcpdumpniany
Mostrartodootrfegoqueenvolva10.0.0.1:
#tcpdumpnhost10.0.0.1
MostrartodootrfegoqueenvolvaumMAC:
#tcpdumpnetherhost00:00:00:00:10:01
Mostrartodootrfegoqueenvolvaaporta80:
#tcpdumpnport80
Mostrartodootrfego,incluindoopayloadecamada2,
queenvolvaumIPeumaporta:
#tcpdumpnAehost10.0.0.1andport80
Gravarumtrfego:usewarquivo.dump
Lerumtrfego:userarquivo.dump
7.Controledetrfgo(delaypooleHTB)
Ocontroledetrfegodeterminacomoospacotesdevem
circularemumarede,deformajustaparatodos.
Nocontroledetrfegoabasedecimal.Assim,1MB/s
(megabyte/segundo)=1.000KB/s.Paraconverterpara
bits,multipliquepor8.Exemplo:1MB/s=8Mb/s.
Pgina5
DelaypoolummtododoSquidutilizadoparacontrolar
downloadporrede,subredeouIP.Maisreferncias
poderoservistasemhttp://bit.ly/delay_pool.
Odelaypoolutilizaoconceitodebaldesepossuias
seguintesclasses:
1:Apenasumbaldelimitaaredecomoumtodo.
2:Umbaldeatuasobretodaaredeeoutroconsidera
apenasoltimooctetodoIP.
3:Umbaldeatuasobretodaarede.Osegundosobreo
terceiroocteto.Oterceirosobreoterceiro
(novamente)eoquartoocteto.
GUIA Bsico de
redes TCP/IP no
Debian GNU/Linux
Verso1.231deoutubrode2014
HTBumdisciplinadecontrole,quepodesercombinada
comPRIO,possibilitantoocontroledequalquertrfego.
Istonodispensaousodedelaypool.Maisdetalhessobre
HTBemhttp://bit.ly/htb_iptables.
8.Algunscomandosteis
Verificartodasasportasservidoras:#neststattunlp
Acompanhartodootrfegoeusodolink:#iptraf
ConsultarIPounomeemDNS:
#aptgetinstalldnsutils
#nslookupwww.terra.com.br
#nslookup200.154.56.80
Especificaro8.8.8.8comoDNSdeconsulta:
#nslookupwww.terra.com.br8.8.8.8
Verificaodasituaodaplacaderedeelink:
#aptgetinstallethtoolnettools
#miitool
#ethtooleth0
9.Refernciasinteressantes
Eriberto(Site):http://eriberto.pro.br(especialateno
paraossubdiretrios/bloge/wiki)
LinuxAdvancedRouting&TrafficControl:
20112014byJooEribertoMotaFilho
http://eriberto.pro.br/eriberto@eriberto.pro.br
http://lartc.org
NetworkConfiguration:http://wiki.debian.org/\
Twitter:@eribertomota
NetworkConfiguration
Tcpdump:http://eriberto.pro.br/files/guia_tcpdump.pdf
4096R/04EBE9EF:357DCB0EEC95A01AEBA1F0D2DE63B9C704EBE9EF
Pgina1
1.Prembulo
Esteguiaderefernciafoicriadocomointuitodeservircomo
orientaoechecklistbsicoparaamontagemderedesde
computadorescomDebianGNU/Linux.Nosetratadealgo
avanado.apenasumaorientaogenrica.
2.ConfiguraoderedeIPv4
2.1EndereoIP,mscaraedefaultgateway
Arquivo/etc/network/interfaces.Exemplo:
autolo
ifaceloinetloopback
autoeth0
ifaceeth0inetdhcp
autoeth1
ifaceeth1inetstatic
address10.0.0.1
netmask255.0.0.0
gateway10.0.0.100
upechoAguarde...;/usr/local/bin/rotas.sh
Alinhaauto,casoexista,provocaraativaodainterface
juntamentecomobootdosistemaoperacional.Alinha
gatewayopcionalerefereseaodefaultgateway.Deverser
colocadanoblocoreferentemesmarede(ex:10.0.0.100
pertencerede10.0.0.0/8).Oparmetroupopcional.Tudo
queforcolocadodepoisdeleserexecutadoapsa
inicializaodaplacaderede.Excelenteopoparaativar
rotaseregrasdefiltrosdepacotes.Tambmhoparmetro
down.Poderhavervriaslinhascomupoudown.
Aconfiguraodeloopbackobrigatria.
PoderosercriadasaliasesdeIP(interfacesvirtuais).Com
isso,amesmainterfacerealpoderreceberdoisoumaisIPs
diferentes(virtuais).Bastaradicionarumnovoblocode
configuraocominterface:apelido.Ex:
autoeth1:teste
ifaceeth1:testeinetstatic
address192.168.1.1
netmask255.255.255.0
Depoisdeeditadooarquivodeconfigurao,utilizeo
seguintecomandoparaativarumadeterminadainterface:
#ifupeth1
Pgina2
Casodesejereiniciartotalmenteumainterface,faao
seguinte:
#ifconfigeth00.0.0.0
#ifdowneth0
#ifupeth0
Asinterfacesvirtuais(eth1:teste,porexemplo)deixarode
existircasoasreaissaiamdoar.Ainda,oantigocomando
/etc/init.d/networking(start|stop|restart)estemdesusoe
notemmaisoplenocontrolesobreasinterfacesderede.
Utilizesempreifupeifdown.
Obs:DESABILITEonetworkmanagernasmquinas.
2.2ServidoresDNS
OsservidoresDNSdeverosercitadosdentrode
/etc/resolv.conf.Exemplo:
nameserver8.8.8.8
nameserver208.67.222.222
OsendereosIPmostradospertencem,respectivamente,aos
DNSpblicosdoGoogleedoprojetoOpenDNS.Vocpoder
utilizlosnormalmentepararesolveralgonaInternet.Na
verdade,asduplasdeendereosso:8.8.8.8e8.8.4.4
(Google),almde208.67.220.220e208.67.222.222
(OpenDNS).Maisdetalhesemhttp://eriberto.pro.br/blog/?
p=849.
2.3Rotasestticasadicionais
Asrotasestticasadicionais(asquenosodefault
gateway)poderoserconfiguradascomocomandoroute.
Exemplos:
#routeaddnet172.16.0.0/16gw10.0.0.8
Nocomandoanteriorfoiditoqueserutilizadoogateway
10.0.0.8paraquecheguemosrede172.16.0.0/16.
Seforocaso,asrotascriadaspoderoserinseridasemum
updentrodoarquivo/etc/network/interfaces,como
mostradonoitem2.desteguia.
3.Configuraodebridge
Pacotenecessrio:
#aptgetinstallbridgeutils
Arquivo/etc/network/interfaces.Exemplo:
autolo
ifaceloinetloopback
Pgina3
autoeth0
ifaceeth0inetstatic
address127.0.0.2
netmask255.0.0.0
autoeth1
ifaceeth1inetstatic
address127.0.0.3
netmask255.0.0.0
autobr0
ifacebr0inetstatic
address10.0.0.1
netmask255.0.0.0
gateway10.0.0.100
bridge_portseth0eth1
Foramatribudosendereosdaredeloopbacksinterfaces
eth0eeth1.Ainterfacebr0(bridge),foicriadacomendereoIP
edefaultgateway.Depois,asinterfaceseth0eeth1foram
associadas.Assim,serpossvelacessarabridgeporSSHou
outromtodo.Noentanto,abridgenoprecisadeIPacessvel:
autobr0
ifacebr0inetstatic
address127.0.0.4
netmask255.0.0.0
bridge_portseth0eth1
Ocomando#brctlshowmostraasituaodabridge.
Maisdetalhes:http://bit.ly/bridge_debian.
4.IPforward
OIPforwardumprocedimentoquepermiteapassagemde
dadosentreplacasderedeemumamesmamquina.Ele
obrigatrioemroteadoreseelementosdefirewallqueatuamna
camada3(OSI).Paraativar,editeoarquivo/etc/sysctl.confe
descomentealinha:
net.ipv4.ip_forward=1
Aseguir,apliqueocomando:#/etc/init.d/procpsstart
5.NATcomIptables
NATdesada:
#iptablestnatAPOSTROUTINGoeth1jMASQUERADE
Aregraanteriordizquetudooqueforsairpelainterface
eth1sofrerNAT,recebendooIPdetalinterface.