Product SiteDocumentation Site

Capítol 10. Infraestructura de xarxa

10.1. Gateway
10.2. Certificats X.509
10.2.1. Creació de certificats de confiança de franc
10.2.2. Infraestructura de clau pública: easy-rsa
10.3. Xarxa privada virtual
10.3.1. OpenVPN
10.3.2. Xarxa privada virtual amb SSH
10.3.3. IPsec
10.3.4. PPTP
10.4. Qualitat del servei
10.4.1. Principis i mecanisme
10.4.2. Configuració i implementació
10.5. Encaminament dinàmic
10.6. IPv6
10.6.1. Túnels
10.7. Servidors de noms de domini (DNS)
10.7.1. Programari DNS
10.7.2. Configurant bind
10.8. DHCP
10.8.1. Configuració
10.8.2. DHCP i DNS
10.9. Eines de diagnòstic de xarxa
10.9.1. Diagnòstic local: netstat
10.9.2. Diagnòstic remot: nmap
10.9.3. «Sniffers»: tcpdump i wireshark
Linux gaudeix de tot el patrimoni d'Unix sobre xarxes, i Debian proporciona un conjunt complet d'eines per crear-ne i gestionar-les. Aquest capítol revisa aquestes eines.

10.1. Gateway

Una passarel·la («gateway») és un sistema que uneix diverses xarxes. Aquest terme sovint es refereix a la “porta de sortida” d'una xarxa local en el camí obligatori cap a totes les adreces IP externes. La passarel·la està connectada a cadascuna de les xarxes que uneix, i actua com a encaminador («router») per transmetre paquets IP entre les seves diverses interfícies.

TORNAR A LES BASES paquet IP

La majoria de les xarxes avui dia utilitzen el protocol IP (Internet Protocol). Aquest protocol segmenta les dades transmeses en paquets de mida limitada. Cada paquet conté, a més de la seva càrrega de dades, una sèrie de detalls necessaris per al seu encaminament adequat.

TORNAR A LES BASES TCP/UDP

Molts programes no gestionen els paquets individuals per si mateixos, tot i que les dades que transmeten viatgen per IP; sovint utilitzen TCP («Transmission Control Protocol» o Protocol de Control de Transmissió). TCP és una capa sobre IP que permet l'establiment de connexions dedicades a fluxos de dades entre dos punts. Els programes només veuen un punt d'entrada en el qual les dades es poden abocar amb la garantia que les mateixes dades surtin sense pèrdues (i en la mateixa seqüència) en el punt de sortida a l'altre extrem de la connexió. Tot i que molts tipus d'errors poden ocórrer en les capes inferiors, aquests són compensats per TCP: els paquets perduts es retransmeten, i els paquets que arriben fora de l'ordre (per exemple, si utilitzen camins diferents) es reendrecen adequadament.
Un altre protocol que es basa en IP és UDP (Protocol de Datagrames d'Usuari o «User Datagram Protocol»). A diferència de TCP, està orientat al paquet. Els seus objectius són diferents: el propòsit d'UDP és només transmetre un paquet d'una aplicació a una altra. El protocol no intenta compensar la possible pèrdua de paquets en el camí, ni garanteix que els paquets es rebin en el mateix ordre que s'han enviat. El principal avantatge d'aquest protocol és que la latència millora considerablement, ja que la pèrdua d'un sol paquet no retarda la recepció de tots els paquets següents fins que es retransmet el perdut.
Tant TCP com UDP impliquen “ports”, que són “números d'extensió” per establir comunicació amb una aplicació donada en una màquina. Aquest concepte permet mantenir diverses comunicacions diferents en paral·lel amb el mateix equip corresponsal, ja que aquestes comunicacions es poden distingir pel número de port.
Some of these port numbers — standardized by the IANA (Internet Assigned Numbers Authority) — are “well-known” for being associated with network services. For instance, TCP port 25 is generally used by the email server. The list of services associated with port numbers can be found in the /etc/services file, also explained in services(5), as well as in:
→ https://www.iana.org/assignments/service-names-port-numbers/service-names-port-numbers.xhtml
Quan una xarxa local utilitza un interval d'adreces privat (no encaminable a Internet), la passarel·la ha d'implementar «address masquerading» o emmascarament d'adreces perquè les màquines de la xarxa puguin comunicar-se amb el món exterior. L'operació d'emmascarament és una mena d'intermediari que funciona a nivell de xarxa: cada connexió sortint d'una màquina interna és substituïda per una connexió de la mateixa pròpia passarel·la (ja que aquesta té una adreça externa encaminable), les dades que passen per la connexió emmascarada s'envien a la nova, i les dades que tornen en resposta s'envien a través de la connexió emmascarada a la màquina interna. La passarel·la utilitza una gamma de ports TCP dedicats per aquest propòsit, normalment amb nombres molt alts (per sobre de 60000). Cada connexió procedent d'una màquina interna apareix al món exterior com una connexió procedent d'un d'aquests ports reservats.

CULTURA Rang d'adreces privades

L'RFC 1918 defineix tres rangs d'adreces IPv4 dedicades a no ser encaminades a Internet, sinó que només s'utilitzin en xarxes locals. El primer, 10.0.0.0/8 (vegeu la barra lateral TORNAR A LES BASES Conceptes de xarxa essenciales (Ethernet, adreça IP, subxarxa, difusió)), és un rang de classe A (amb 224 adreces IP). La segona, 172.16.0.0/12, reuneix 16 rangs de classe B (de 172.16.0.0/16 a 172.31.0.0/16), cadascun dels quals conté 216 adreces IP. Finalment, 192.168.0.0/16 és un rang de classe B (agrupant intervals de 256 classes C, de 192.168.0.0/24 a 192.168.255.0/24, amb 256 adreces IP cadascuna).
→ http://www.faqs.org/rfcs/rfc1918.html
Una passarel·la també pot realitzar dos tipus de traducció d'adreces de xarxa (o NAT com acrònim en anglès per «network address translation»). El primer tipus, NAT de destí (DNAT per «destination NAT») és una tècnica per alterar l'adreça IP de destinació (i/o el port TCP o UDP) per a una connexió (generalment) entrant. El mecanisme de seguiment de la connexió també altera els paquets següents en la mateixa connexió per assegurar la continuïtat en la comunicació. El segon tipus de NAT és NAT d'origen (SNAT per «source NAT»), del qual l'emmascarament n'és un cas particular; SNAT altera l'adreça IP de la font (i/o el port TCP o UDP) d'una connexió (generalment) sortint. Pel que fa a DNAT, tots els paquets de la connexió es gestionen adequadament pel mecanisme de seguiment de la connexió. Tingueu en compte que el NAT només és rellevant per a IPv4 i el seu espai d'adreçament limitat; en IPv6, l'àmplia disponibilitat d'adreces redueix enormement la utilitat del NAT permetent que totes les adreces “internes” siguin directament encaminables a Internet (això no implica que les màquines internes siguin accessibles, ja que els tallafocs intermediaris poden filtrar el trànsit).

TORNAR A LES BASES Redirecció de ports

Una aplicació concreta del DNAT és el reenviament de ports. Les connexions entrants a un port donat d'una màquina es reenvien a un altre port d'una altra màquina. Altres solucions poden existir per aconseguir un efecte similar, especialment a nivell d'aplicació amb ssh (vegeu Secció 9.2.1.4, «Creació de túnels encriptats amb reenviament de ports») o redir.
Prou de teoria i posem-nos en pràctica. Convertir un sistema de Debian en una passarel·la és una qüestió tan senzilla com habilitar l'opció apropiada del nucli de Linux a través del sistema de fitxers virtual /proc/: 
# echo 1 > /proc/sys/net/ipv4/conf/default/forwarding
This option can also be automatically enabled on boot if /etc/sysctl.conf or a configuration file in /etc/sysctl.d/ sets the net.ipv4.conf.default.forwarding option to 1.

Exemple 10.1. El fitxer /etc/sysctl.conf

net.ipv4.conf.default.forwarding = 1
net.ipv4.conf.default.rp_filter = 1
net.ipv4.tcp_syncookies = 1
El mateix efecte es pot obtenir per a IPv6 simplement substituint ipv4 per ipv6 en l'ordre manual o posant la línia net.ipv6.conf.all.forwarding a /etc/sysctl.conf.
L'activació de l'emmascarament IPv4 és una operació lleugerament més complexa que implica la configuració del tallafocs netfilter.
De la mateixa manera, l'ús de NAT (per a IPv4) requereix la configuració de netfilter. Com que el propòsit principal d'aquest component és el filtratge de paquets, els detalls es llisten a Capítol 14: «Seguretat» (vegeu Secció 14.2, «Tallafocs o filtratge de paquets»).