Professional Documents
Culture Documents
Contenido de la Gua
Objetivos especficos.
Instalar y configurar un servidor DNS con resolucin externa utilizando los servidores NS de google y una
zona directa para los equipos de la red hbrida.
Instalar y configurar un servidor DHCP que enve los parmetros IPv4 a los clientes de forma que se pueda
navegar en Internet sin modificar los valores de la red IPv4 privada 192.168.50+Y.0
Habilitar la funcin del kernel de Linux que permita en reenvo de paquetes IPv4.
Instalar y configurar un firewall que permita la comunicacin de los equipos de la red IPv4 local utilizando
una direccin IPv4 con conexin a Internet
Nomenclatura de la gua:
En esta gua se ha utilizado el siguiente formato:
Fuente courrier en negrita para los comandos que deben digitarse, por ejemplo:
root@srv01:~# ps aux |grep sshd
Texto con resaltado en amarillo, para la informacin que debe visualizar cuando realice algn
procedimiento o comando. Puede contener color rojo dentro del fondo amarillo.
root@srv01:~# mcedit /etc/resolv.conf
search empresay.com.sv
nameserver 192.168.2.1
Las notas o consideraciones se destacan con: Nota:
La informacin aqu presentada ha sido creada por Vctor Cuchillac (padre), cualquier uso o referencia debe citarse
al autor.
En el siguiente cuadro se muestran los equipos que se tendrn al final del macro escenario,
A continuacin, se describen los servicios que desarrollarn cada equipo dentro del macro escenario.
Para realizar este escenario existen dos opciones, siendo la primera la que se utilizar en los laboratorios
La interconexin de dos o ms computadoras
Un equipo con suficiente capacidad de proceso (i7 con cuatro ncleos) y suficiente RAM (8 GB Mn 16
recomendado)
Recursos requeridos:
Equipo o MV con dos tarjetas de red para la instalacin y configuracin del router01.
Conexin a Internet.
La imagen en formato ISO o el CD del sistema operativo Alphine Linux de 64 bits (enlace para descarga:
http://alpinelinux.org/downloads). Se utilizar esta distribucin porque ocupa muy poco espacio de
almacenamiento y RAM. Podra utilizarse cualquier sistema operativo Windows server o Linux con
los servicios: DNS, DHCP, Router y Firewall si los recursos de los equipos en donde se ejecuten todos
los equipos los permita.
Herramientas de administracin para SSH:
o MaSSHandra
o KiTTY para Windows.
o WinSCP o FileZilla para Windows.
o Notepad+++ para Windows (opcional)
Consideraciones:
Si utilizan mquinas virtuales se emplear Oracle VirtualBox versin 5.X (De preferencia), y para cada
equipo se utilizarn las direcciones fsicas del cuadro 3
Escriba en un papel todas las direcciones IPv4 de su red, utilice el valor de Y con el nmero de grupo
asignado, por ejemplo: Y=grupo1 192.168.50+Y.1 = 192.168.168.51.1
La mquina virtual o equipo que se utilizar para el router01 debe tener dos interfaces de red.
Servidor DHCP
o Crear direcciones reservadas para los hipervisores y datastore1
o Crear pool para clientes (estar desactivado despus de las pruebas)
Servidor DNS
o Crear el dominio empresaY.com.sv
o Agregar los registros A del datstore1 e hipervisores
Router
o La interfaz de salida ser eth0 (dinmica o esttica segn sea el caso)
o La interfaz para la LAN ser eth1
NAT y Firewall
o Se debe permitir el trfico de los equipos PC01 a Internet
o Debe existir trfico IP entre la red LAN y los equipos PC03 (red del laboratorio)
Red / Adaptador1: Esta ser la interfaz eth0 y tendr salida a Internet (si la PC tiene salida a Internet)
Conectado a: NAT
Tipo de adaptador: Intel PRO/1000 Desktop
Direccin MAC: Defina una MAC adecuada para la interfaz
localhost:~# setup-alpine
3.3 Digite si hay variante en el teclado (en esta gua yo utilizar ingls)
Which one do you want to initialize? (or '?' or 'done') [eth0] eth0
Ip address for eth0? (or 'dhcp', 'none', '?') [] dhcp
Which timezone are you in? ('?' for list) [UTC] America/El_Salvador
* WARNING: you are stopping a boot service
* WARNING: you are stopping a boot service
* Setting keymap ... [ ok ]
* Starting busybox acpid ... [ ok ]
* Starting busybox cron ... [ ok ]
Available mirrors:
1) nl.alpinelinux.org
2) dl-2.alpinelinux.org
3) dl-3.alpinelinux.org
4) dl-4.alpinelinux.org
5) dl-5.alpinelinux.org
6) distrib-coffee.ipsl.jussieu.fr
7) mirror.yandex.ru
8) mirrors.gigenet.com
9) repos.lax-noc.com
10) mirror1.hs-esslingen.de
How would you like to use it? ('sys', 'data' or '?' for help) [?] sys
WARNING: The following disk(s) will be erased:
sda (8.6 GB ATA VBOX HARDDISK )
[##########################################################]
Router01:~# reboot
Si desea consultar ms informacin sobre la instalacin en el disco, definiendo y creando las particiones de forma
manual visite la siguiente direccin: http://wiki.alpinelinux.org/wiki/Install_to_disk
Elaborado por Ing. Vctor Cuchillac (padre) Pgina 12 de 36
2.2 Instalacin de herramientas (recomendado)
1.2 Instalar mc
Utilice el comando mcedit o nano para editar el archivo /etc/hosts, el archivo debe quedar como se muestra a
continuacin, recuerde que usted debe utilizar la red 192.168.50+Y.1 (donde Y es el nmero del grupo)
router01:/# setup-acf
(1/20) Installing libssl1.0 (1.0.1e-r5)
(2/20) Installing mini_httpd (1.19-r8)
Executing mini_httpd-1.19-r8.pre-install
(3/20) Installing acf-jquery (0.3.0-r0)
(4/20) Installing lua5.1-libs (5.1.5-r0)
(5/20) Installing lua-subprocess (0.0.20121211-r2)
(6/20) Installing acf-lib (0.6.1-r0)
(7/20) Installing acf-skins (0.5.1-r0)
(8/20) Installing haserl (0.9.32-r0)
(9/20) Installing lua5.1 (5.1.5-r0)
(10/20) Installing lua (5.1.5-r4)
(11/20) Installing lua-bitlib (26-r3)
(12/20) Installing lua5.1-posix (31-r1)
(13/20) Installing lua-posix (31-r1)
(14/20) Installing lua5.1-md5 (1.2-r1)
(15/20) Installing lua-md5 (1.2-r1)
(16/20) Installing lua-json4 (0.9.50-r0)
(17/20) Installing acf-core (0.17.1-r0)
(18/20) Installing acf-alpine-baselayout (0.11.0-r0)
(19/20) Installing acf-apk-tools (0.9.1-r0)
(20/20) Installing openssl (1.0.1e-r5)
Executing busybox-1.21.1-r0.trigger
Executing uclibc-utils-0.9.33.2-r26.trigger
OK: 176 MiB in 61 packages
Generating certificates for HTTPS...
Generating RSA private key, 2048 bit long modulus
.........................+++
.........................................................+++
e is 65537 (0x10001)
* Caching service dependencies ... [ ok ]
* Starting mini_httpd ...
bind: Address already in use
/usr/sbin/mini_httpd: started as root without requesting chroot(),warnin[ok]
router01:/# cd /etc/unbound/
router01:/etc/unbound# ls -l
total 28
-rw-r--r-- 1 root root 3048 Oct 28 10:34 root.hints
-rw-r--r-- 1 root root 23599 Oct 28 10:34 unbound.conf
router01:/etc/unbound# ls -l
total 52
-rw-r--r-- 1 root root 3048 Oct 28 10:34 root.hints
-rw-r--r-- 1 root root 23599 Oct 28 10:34 unbound.conf
-rw-r--r-- 1 root root 23599 Dec 27 05:40 unbound.conf.ori
El archivo de configuracin para esta prctica utilizar solo 4 secciones: server:, python:, remote-control:,
forward-zone: (con color azul)
Notas:
Todas las instrucciones estn en una sola lnea, no omita los puntos y dos puntos, recuerde que Y
representa el nmero de grupo.
No digite el texto (lnea anterior), aqu aparece porque el contenido no puede mostrase en una sola lnea
Para configurar el servidor DNS necesitar colocar el dominio segn el grupo (empresay.com.sv) y los
valores de la red 192.168.50+Y.0 acorde al cuadro No. 2.
python:
remote-control:
control-enable: no
forward-zone:
name: "."
forward-addr: 8.8.8.8
forward-addr: 8.8.4.4
forward-first: yes
Cuando se realicen las pruebas de la resolucin de nombres, ser necesario que se compruebe la resolucin de los
nombres de los host, as como todos los FQDN. Como se expres anteriormente este servicio es funcional para el
escenario que se ha planteado, pero en un escenario real se deber considerar instalar el servicio DNS Bind9
router01:/etc/unbound# unbound-checkconf
Si tiene errores por favor digite correctamente el archivo y tenga en cuenta lo siguiente:
Maysculas y minsculas son consideradas por separado.
No omita el punto. Al final del dominio.
Si solo copia el contenido tendr error porque debe sustituir la letra Y por el nmero de grupo.
Si cre el archivo desde Windows y despus lo envi al equipo router01, tenga en cuenta el salto de lnea,
lo mejor es crear el archivo desde Linux, con el comando touch unbound.conf
Si desea puede sustituir el valor del servidor DNS 8.8.8.8, por el servidor del ISP (por ejemplo
192.168.1.12)
Debido a que el servicio DNS debe quedar automticamente ejecutndose cada vez que arranque el equipo virtual,
ser necesario agregarlo a la lista de procesos de inicio en el arranque
Si desea que el servicio se ejecute al inicio del sistema operativo digite el siguiente comando: rc-update add
unbound
unbound | default
C:\> netsh interface ip set address "Conexin de rea local" static 192.168.50+Y.11
255.255.255.0 192.168.50+Y.1 5
C:\> netsh interface ip set dns "Conexin de rea local" static 192.168.50+Y.1
5.3 Verifique que el servidor DNS muestre los datos de la zona directa e inversa
C:\>nslookup
Servidor predeterminado: router01.empresay.com.sv
Address: 192.168.50+Y.1
>
> datastore01.empresay.com.sv
Servidor: router01.empresay.com.sv
Address: 192.168.50+Y.1
Nombre: datastore01.empresay.com.sv
Address: 192.168.50+Y.2
> srv01.empresay.com.sv
Servidor: router01.empresay.com.sv
Address: 192.168.50+Y.1
Nombre: srv01.empresay.com.sv
Address: 192.168.50+Y.3
> cuchillac.net
Servidor: router01.empresay.com.sv
Address: 192.168.50+Y.1
Respuesta no autoritativa: <- Muy importante consulta a los fowarders
Nombre: cuchillac.net
Address: 50.87.152.212
> 192.168.50+Y.4
Servidor: router01.empresay.com.sv
Address: 192.168.200.1
Nombre: srv02.empresay.com.sv
Address: 192.168.50+Y.14
> exit
Si es Ubuntu 14.04, use una configuracin esttica con la direccin 192.168.50+Y.12 o desde CentOS 7
(192.168.50+Y.4)
Para configurar el servidor DHCP debe utilizar el cuadro No. 4 y considerar lo siguiente:
Cree direcciones reservadas para los equipos segn los cuadros No. 3 y No. 4
Asigne la direccin 192.168.50+Y.1 como DNS local
Las direcciones IPv4 que ofrecer el servidor DHCP no deben entrar en conflicto con las direcciones IP de
los equipos clientes. Cree un rango o scope desde la direccin 192.168.50+Y.101 a 192.168.50+Y.110
router01:~# cd /etc/dhcp/
router01:/etc/dhcp# ls
dhcpd.conf.example
router01:/etc/dhcp# ls -l
total 8
-rw-r--r-- 1 root root 3262 Dec 27 08:14 dhcpd.conf
-rw-r--r-- 1 root root 3262 Oct 27 16:42 dhcpd.conf.example
Nota: Puede utilizar las opciones: stop, status, restart. Recuerde que si utiliza las direcciones
estticas en los servidores no es necesario tener un servidor DHCP
Defina que la interfaz LAN utilizar la IPv4 del DNS de forma dinmica.
C:\>ipconfig
Configuracin IP de Windows
Adaptador de Ethernet LAN:
Sufijo DNS especfico para la conexin. . : empresay.com.sv
Direccin IPv4. . . . . . . . . . . . . . : 192.168.50+Y.101
Mscara de subred . . . . . . . . . . . . : 255.255.255.0
Puerta de enlace predeterminada . . . . . : 192.168.50+Y.1
Para verificar que se haya enviado la direccin IPv4 del DNS utilice el comando C:\>ipconfig /all y
verifique la interfaz LAN
Si utiliza TinyCore utilice la herramienta grfica. Si utiliza otra versin de Linux el comando para solicitar una
direccin IP en Linux es dhcliente eth0, el cual es ejecutado por el root y el archivo de configuracin de la
interfaz eth0 no debe tener una direccin IPv4 esttica.
Si el cliente DHCP obtiene una direccin APIPA (169.254.X.X), significa que el cliente envo la peticin
y ningn servidor DHCP le pudo asignar una IP
o Verifique que haya conexin ICMP entre el servidor DHCP y el cliente.
o Verifique la comunicacin de las interfaces de Virtual Box o VMWare Workstation
o Verifique el firewall del equipo Windows y el firewall del servidor DHCP.
Si el cliente DHCP recibe una direccin de otro grupo (empresay), solo aplica al centro de cmputo 3.
o Reinicie el cliente DHCP, no utilice los comandos ipconfig /release, ipconfig
/renew porque estos utilizan la cach del cliente, para reiniciar el cliente DHCP, abra
services.msc y reinicie el cliente DHCP.
o Verifique que su cliente y servidor DHCP estn conectados entre ellos y no haya comunicacin
con otros servidores DHCP.
Nota: En los escenarios reales un router siempre tiene direcciones IP estticas, recuerde que por portabilidad
de los equipos virtuales la eth0 del router01 es automtica (NAT en VirtualBox). Si se desea modificar la
direccin de eth0 o eth1 se utiliza el comando setup-interfaces.
router01:~# route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
0.0.0.0 10.0.2.2 0.0.0.0 UG 202 0 0 eth0
10.0.2.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
192.168.50+Y.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1
tc@box:$ route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
0.0.0.0 192.168.50+Y.1 0.0.0.0 UG 0 0 0 eth0
127.0.0.1 0.0.0.0 255.255.255.255 UH 0 0 0 lo
192.168.50+Y.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
C:\>ipconfig
Configuracin IP de Windows
Adaptador de LAN inalmbrica WIFI:
Sufijo DNS especfico para la conexin. . :
Direccin IPv4. . . . . . . . . . . . . . : 192.168.50+Y.3
Mscara de subred . . . . . . . . . . . . : 255.255.255.0
Puerta de enlace predeterminada . . . . . : 192.168.50+Y.1
C:\>route print -4
===========================================================================
ILista de interfaces
13...68 17 29 91 5c 9e ......Intel(R) Centrino(R) Wireless-N 2230
12...f0 92 1c 52 37 cc ......Realtek PCIe GBE Family Controller
25...6a 17 29 91 5c 9e ......Microsoft Hosted Network Virtual Adapter
1...........................Software Loopback Interface 1
===========================================================================
Nota: En esta gua se permitir el acceso desde la LAN (zona lan) hacia Internet (inter) y viceversa
router01:/# mcedit /etc/shorewall/policy
#SOURCE DEST POLICY LOG LIMIT: CONNLIMIT:
# LEVEL BURST MASK
fw all ACCEPT
lan inter ACCEPT
all all ACCEPT
Nota: No es necesario agregar reglas porque se ha permitido al todo el acceso, en la vida real se debera agregar
los servicios autorizados, por ejemplo DHCP, DNS, Web, etc. Pero para permitir la descarga desde los repositorios
de los dems equipos se permitir todo el trfico.
#INTERFACE:DEST SOURCE ADDRESS PROTO PORT(S) IPSEC MARK USER/ SWITCH ORIGINAL
# GROUP DEST
eth0 eth1
Tareas
A1 Configuracin de interfaces
Estos son procedimientos para configurar la interfaz de red en Alpine
localhost:~# setup-interfaces
Available interfaces are: eth0 eth1.
Enter '?' for help on bridges, bonding and vlans.
Which one do you want to initialize? (or '?' or 'done') [eth0] eth0
localhost:~# setup-dns
DNS domain name? (e.g 'bar.com') [] empresay.com.sv
DNS nameserver(s)? [192.168.50.1 ] 192.168.50.1
localhost:~# ifconfig
eth0 Link encap:Ethernet HWaddr 08:00:27:02:11:0A
inet addr:192.168.2.106 Bcast:0.0.0.0 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:196 errors:0 dropped:0 overruns:0 frame:0
TX packets:124 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:19246 (18.7 KiB) TX bytes:16189 (15.8 KiB)
localhost:~# route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
0.0.0.0 192.168.2.1 0.0.0.0 UG 202 0 0 eth0
192.168.2.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
Name: cuchillac.net
Address 1: 50.87.152.212 50-87-152-212.unifiedlayer.com
auto eth0
iface eth0 inet dhcp
hostname localhost
3 Comandos a utilizar
localhost:~# setup-interfaces
Available interfaces are: eth0 eth1.
Enter '?' for help on bridges, bonding and vlans.
Which one do you want to initialize? (or '?' or 'done') [eth0] eth0
Ip address for eth0? (or 'dhcp', 'none', '?') [192.168.2.106] dhcp
Available interfaces are: eth1.
Enter '?' for help on bridges, bonding and vlans.
Which one do you want to initialize? (or '?' or 'done') [eth1] done
Do you want to do any manual network configuration? [no] no
localhost:~# setup-dns
DNS domain name? (e.g 'bar.com') [] empresay.com.sv
DNS nameserver(s)? [192.168.50.1 ] 192.168.50.1
router01:/# ls /etc/nsd/nsd.*
/etc/nsd/nsd.conf.sample
identity: "empresay.com.sv"
remote-control:
zone:
name: "empresay.com.sv"
zonefile: "empresay.com.sv.zone"
NS ns1.empresay.com.sv.
MX 10 mail.empresay.com.sv.
ns1 IN A 192.168.200.1
datastore1 IN A 192.168.200.2
hipervisor1 IN A 192.168.200.3
hipervisor2 IN A 192.168.200.4
hipervisor3 IN A 192.168.200.5
front-end1 IN A 192.168.200.6
mail IN A 192.168.200.11
datos IN A 192.168.200.12
srvapp IN A 192.168.200.13
* IN A 192.168.200.1
@ IN A 192.168.200.1