Добавить README.md

2026-03-17 23:53:59 +03:00
parent 0b2f9f7e43
commit 40bcbcbfe1
1 changed files with 132 additions and 0 deletions
--- a/README.md
+++ b/README.md
@@ -0,0 +1,132 @@
+# Домашнее задание 30
+
+## Фильтрация трафика - iptables  
+
+Для выполнение задания используется стенд из домашнего задания 28 https://git.limbox.ru/alex/homework28 
+
+
+### Создание Vagrantfile
+
+В дополнении к 7 существующим VM будет добавлена еще одна **inetRouter2**
+
+Создана сеть **router2-net** с адресацией **192.168.255.12/30**
+
+Добавлены подключения
+
+**inetRouter2** ip **192.168.255.13/30** link to **centralRouter** ip **192.168.255.14/30**
+
+
+
+Текущая карта сети
+![30_1](images/30_1.png)
+
+
+
+Готовый [Vagrantfile](Vagrantfile) 
+
+
+### Корректировка ansible.yml
+
+В сценарий для Ansible добавлены следующие действия:
+
+1. На **centralServer** установлен nginx
+2. С хотовой машины прокинут порт 8080 на **inetRouter2** порт 80
+3. На **inetRouter2** с помощью iptables DNAT, порт 80 пробрасывается на centralServer. **Проброс порта осуществляется без дополнительного маскарадинга!** 
+4. На **centralRouter** настроет iptables так, что бы маркировать пакеты пришедшие со стороны **inetRouter2** и идущие на **centralServer** 80 порт. Это требуется для того, что бы при ответе на запрос пакет с **centralServer**  ушел на **inetRouter2** а не в маршрут по умолчанию. Для этих же целей добавлены отдельные таблицы маршрутизации в netplan
+5. На **centralServer** так же через iptables и отдельные таблицы маршрутизации настраивается маркировка пакетов пришедших со стороны **centralRouter** , что бы ответные пакеты всегда ушли в тот же интерфейс откуда пришли. 
+6. На **inetRouter** настроены правила iptables в цепочке INPUT и port knocking следующим образом:
+- Разрешены established и related соединения
+- Разрешено все с loopback интерфейса
+- Разрешено все с интернфейса enp0s3 (оставил для vgrant)
+- Разрешен ICMP
+- Первое подключение от 192.168.255.2 на порт TCP 2222 записывается в таблицу CONNECT_1 (не важно как подключаться, можно http или ssh )
+- Если в течении 30 секунд после первого подключения произошло подключение на порт TCP 222, записываем в таблицу CONNECT_2
+- Теперь в течении 30 секунд мы можем подключиться по ssh с **centralRouter** на **inetRouter**
+- В цепочке INPUT включена политик DROP
+
+Готовый [ansible.yml](ansible.yml) 
+
+
+
+
+### Проверка
+
+Запускаем vagrant
+```bash
+alex@ubuntu-pc:~/Документы/30$ vagrant destroy --force
+==> office1Router: You assigned a static IP ending in ".1" or ":1" to this machine.
+==> office1Router: This is very often used by the router and can cause the
+==> office1Router: network to not work properly. If the network doesn't work
+==> office1Router: properly, try changing this IP.
+==> office1Router: Forcing shutdown of VM...
+==> office1Router: Destroying VM and associated drives...
+==> centralServer: Forcing shutdown of VM...
+==> centralServer: Destroying VM and associated drives...
+==> centralRouter: You assigned a static IP ending in ".1" or ":1" to this machine.
+==> centralRouter: This is very often used by the router and can cause the
+==> centralRouter: network to not work properly. If the network doesn't work
+==> centralRouter: properly, try changing this IP.
+==> centralRouter: Forcing shutdown of VM...
+==> centralRouter: Destroying VM and associated drives...
+==> inetRouter2: Forcing shutdown of VM...
+==> inetRouter2: Destroying VM and associated drives...
+==> inetRouter: You assigned a static IP ending in ".1" or ":1" to this machi
+...
+
+
+...
+RUNNING HANDLER [apply netplan] ************************************************
+changed: [office2Server]
+changed: [office1Server]
+changed: [office2Router]
+changed: [centralRouter]
+changed: [office1Router]
+changed: [centralServer]
+
+PLAY RECAP *********************************************************************
+centralRouter              : ok=15   changed=13   unreachable=0    failed=0    skipped=0    rescued=0    ignored=0   
+centralServer              : ok=12   changed=10   unreachable=0    failed=0    skipped=0    rescued=0    ignored=0   
+inetRouter                 : ok=16   changed=14   unreachable=0    failed=0    skipped=1    rescued=0    ignored=0   
+inetRouter2                : ok=12   changed=10   unreachable=0    failed=0    skipped=1    rescued=0    ignored=0   
+office1Router              : ok=7    changed=5    unreachable=0    failed=0    skipped=0    rescued=0    ignored=0   
+office1Server              : ok=6    changed=4    unreachable=0    failed=0    skipped=0    rescued=0    ignored=0   
+office2Router              : ok=7    changed=5    unreachable=0    failed=0    skipped=0    rescued=0    ignored=0   
+office2Server              : ok=6    changed=4    unreachable=0    failed=0    skipped=0    rescued=0    ignored=0   
+
+ 
+
+
+```
+
+
+
+
+После запуска всех машин, на хостовой машине попробуем открыть http://127.0.0.1:8080/, видим стандартную страницу nginx, значит dnat на **inetRouter2** и макрировки пакетов на **centralRouter** и **centralServer** отработали верно.
+
+![30_2](images/30_2.png)
+
+
+
+Проверка port knocking. Поключимся к **centralServer** и с помощтю утилиты **nc** проверим работу. 
+Вначале проверим досмтупность 22 порта, а потом по очереди 2222-222-22. 
+
+nc -zvw 2 192.168.255.1 22
+
+```bash
+vagrant@centralRouter:~$ nc -zvw 2 192.168.255.1 22
+nc: connect to 192.168.255.1 port 22 (tcp) timed out: Operation now in progress
+vagrant@centralRouter:~$ 
+vagrant@centralRouter:~$ 
+vagrant@centralRouter:~$ nc -zvw 2 192.168.255.1 2222
+nc: connect to 192.168.255.1 port 2222 (tcp) timed out: Operation now in progress
+vagrant@centralRouter:~$ nc -zvw 2 192.168.255.1 222
+nc: connect to 192.168.255.1 port 222 (tcp) timed out: Operation now in progress
+vagrant@centralRouter:~$ nc -zvw 2 192.168.255.1 22
+Connection to 192.168.255.1 22 port [tcp/ssh] succeeded!
+
+```
+
+Видим, в начале порт 22 был закрыт, но после того как мы поочередно постучались на порты 2222 и 222, порт 22 стал доступен, port knocking работает!
+
+
+Все готово!