cv25-ACL, (NAT)

Cíl

Zabezpečení sítě pomocí ACL, troubleshooting.

Poznámka - pro srovnávání řešení a komunikaci můžete využít sdíleného dokumentu.

Úloha 1 - ověření aktuálního stavu

Stáhněte si topologii v příloze. Síť je již částečně nakonfigurovaná - kompletní je IP adresace a směrování (není potřeba zasahovat)

Ověřte, kdo s kým může v síti komunikovat, jaké služby fungují (DNS, WWW, FTP, ...), pokud něco nefunguje, zdůvodněte, KDE komunikace selže a PROČ?'

• 1. PC0 - C@fe-PC2 ... ping

  2. PC4 - root DNS ... ping

  3. PC6 - C@fe-PC2 ... ping

  4. PC4, PC6 - nslookup server1

  5. PC4 - server1 ... HTTP (webový prohlížeč - zadat URL "http://server1")

  6. C@fe-PC2 - www.centrum.cz ... HTTP

  7. PC4 - www.centrum.cz ... HTTP

  8. PC2 - www.sit.cz

  9. C@fe-PC2 - www.sit.cz

Úloha 2 - zabezpečení

Nastavte ACL tak, aby platilo:

Sdílený pracovní sešit - odkaz

• 1. Ze sítě LAN 4 nelze přistupovat do sítě LAN 1

  2. Ověření

  3. - ping z PC6 nebo PC7 na PC0 nebo Server1 (NE)

  4. - ping z PC5 nebo PC4 na PC0 nebo Server1 (ANO)

  5. Výjimka z předchozího pravidla - PC6 může přistupovat na Server1

  6. Ověření

  7. - ping z PC7 na PC0 nebo Server1 (NE)

  8. - ping z PC6 na PC0 (NE)

  9. - ping nebo HTTP z PC6 nebo Server1 (ANO)

  10. 2,5 (obdobná úloha jako 1.+2.) ... zakažte komunikaci mezi sítěmi LAN 2 a LAN 3, s výjimkou komunikace PC5 a Server2 (pouze ti 2 spolu mohou komunikovat)

  11. Na Server2 není dovolen přístup z internetu, s výjimkou přístupu na WWW ze stanice C@fe-PC2

  12. Ověření

  13. - ping nebo ftp z C@fe-PC1 a C@fe-PC2 na 210.16.2.100 (NE)

  14. - zadání 210.16.2.100 do webového prohlížeče na C@fe-PC1 (NE)

  15. - zadání 210.16.2.100 do webového prohlížeče na C@fe-PC2 (ANO)

  16. Na Server1 je zakázán přístup z internetu na FTP, vše ostatní je povoleno

  17. Ověření

  18. - příkazem "ftp 210.16.1.100" z C@fe-PC2 (NE)

  19. - jinou komunikací s 210.16.1.100 z C@fe-PC2 - např. ping, HTTP (ANO)

  20. Stanice ze sítě LAN 3 se mohou dotazovat root DNS serveru v internetu (stanice z LAN 1, 2 a 4 ne!)

  21. Příprava

  22. - změňte nastavení DNS serveru u PC4, PC5 na 35.84.192.1, udělejte to také u PC2

  23. Ověření

  24. - příkazem "nslookup www.seznam.cz" z PC4 (ANO), PC5 (ANO) a PC2 (NE)

  25. - ping (ze všech PC) na 35.84.192.1 (ANO)

  26. Stanice ze sítě LAN 3 nesmí přistupovat nikam na WWW ani FTP

  27. Ověření

  28. - ping z PC4 nebo PC5 na C@fe-PC2 a IP adresu www.centrum.cz (90.183.38.60) a ftp.seznam.cz (77.75.72.5) (3xANO)

  29. - zadání IP adresy www.centrum.cz do prohlížeče na PC4 (NE)

  30. - zadání "ftp IP_adresa_ftp.seznam.cz" do příkazového řádku PC5 (NE)

Úloha 3 - NAT

Zajistěte funkčnost komunikace stanic ze sítě LAN 4 do internetu a zajistěte také dostupnost serverů pod jejich veřejnými adresami (TIP: jejich veřejné adresy zjistíte v DNS systému).

Návrh řešení