4 Configuració de la xarxa
A continuació s'explicarà la configuració de la xarxa a través d'un exemple, el següent exemple és una possible configuració de totes maneres NSSOS és altament configurable amb múltiples opcions que s'aniran detallant en aquest manual.
Seguint l'exemple de l'escenari proposat a, el primer que pot fer es configurar les interfícies del NSS. Això ho pot fer amb els següents passos:
#set interface eth0 ip 62.0.0.2/24
#set interface eth0 enable
Si no s'habilita l les interfícies de xarxa el sistema no aplicarà la configuració a la mateixa i romandrà desactivada.
#set interface eth1 ip 192.168.3.1
#set interface eth1 enable
#set interface eth0 description internet
#set interface eth0 description intranet
#set interface eth0 mtu 1500
Cal que sàpiga el que està fent quan modifiqui la MTU d'alguna interfície.
Existeixen protocols de capes superiors (per exemple SSH) que requereixen un mínim de bytes sense fragmentar pel correcte funcionament, així doncs podria perdre la
connectivitat amb el sistema si no respecta aquest mínim de bytes.
NSSOS permet la configuració de les seves interfícies de xarxa mitjançant el protocol DHCP. Si per exemple vol assignar dinàmicament una IP a la interfície eth0 (suposant que la interfície està connectada a un servidor DHCP).
#set interfaces eth0 ip dhcp
S'ha de dir que l'assignació de les adreces IP a les interfícies no es durà a terme fins que no s'executi un commit. És imperatiu que almenys una de les interfícies
de xarxa del sistema estigui configurada amb DHCP en el cas que vulgui configurar els servidor de noms o bé la ruta per defecte de forma dinàmica.
Per modificar qualsevol camp de les interfícies ho pot fer amb la comanda set.
#set interfaces eth1 disable
#set interfaces eth1 192.168.2.1/24
Si una interfície està deshabilitada el sistema actuarà com si aquesta no estigués connectada.
Per accedir remotament al NSS sense necessitat d'una connexió física necessita definir els hosts als quals els permet l'accés al NSS.
Si per exemple vol que la IP 192.168.3.2 sigui la única adreça IP que pugui administrar remotament el sistema NSS pot fer el següent :
#del system administrator management_ip
#del system administrator management_ip qualsevolip
#set system administrator management_ip 192.168.3.2
És possible afegir/eliminar una xarxes senceres amb el format NETWORK/NETMASK. Per exemple la següent comanda afegeix que puguin administrar el sistema NSS el rang d'adreces IP : 192.168.3.1-192.168.3.255.
#set system administrator management_ip 192.168.3.0/24
#set system administrator webmanagement_ip 192.168.3.0/24
A part de la possibilitat de connexió SSH (port 22 TCP) o HTTP (port 80 TCP), el sistema NSS respon als pings realitzats des de qualsevol adreça IP afegida al management_ip o bé webmanagement_ip. Altrament no respon a pings realitzats des d'altres adreces IP.
Per motius de seguretat el sistema inicialment no realitza el reenviament de paquets entrants si no es configura expressament a la configuració del tallafocs del sistema, aquesta restricció no existeix pels
paquets generats localment.
NSSOS implementa l'algorisme d'encaminament estàtic IP amb la seva taula d'encaminament. El sistema decideix la ruta del paquet en funció de la adreça IP destí: Si la adreça IP destí del paquet pertany a una xarxa directament connectada s'envia directament al host destí. En cas contrari s'examina seqüencialment cada entrada de la taula d'encaminament en busca d'una ruta específica per enviar-lo. Si no existeix cap ruta llavors el paquet serà enviat per la ruta per defecte definida.
És l'última entrada de la taula d'encaminament del NSS i indica el host (passarel·la) que s'enviaran els paquets quan el sistema no sap on encaminar-los: sigui perquè la adreça IP destí dels mateixos no pertany xarxes directament connectades o perquè no s'ha definit cap ruta específica.
#set ip_route default 62.0.0.2
Comprovi que el host (passarel·la) sigui un host al qual el sistema pugui "arribar" directament ja que en cas contrari NSSOS no reportarà error.
#del ip_route default
Si té accés al servidor DHCP i aquest li ho permet, té possibilitat de configurar la ruta per defecte a través d'aquest protocol.
#set ip_route default dhcp
Com en el cas de l'assignació dinàmica del servidor de noms és necessari tenir almenys una interfície configurada amb DHCP. Una vegada executi commit rebrà la ruta per defecte assignada pel servidor.
NSSOS permet definir rutes específiques pels paquets destinats una certa adreça IP (o que pertanyen a una xarxa determinada). Per exemples si vol que el sistema enviï els paquets que la seva adreça IP
pertanyi a la xarxa 128.0.0.0 al host (passarela) amb adreça IP 61.0.0.3.
#set ip_route route 128.0.0.0/24 61.0.0.3
Una vegada finalitzada la configuració en memòria, ha d'actualitzar la configuració de run perquè els canvis tinguin efecte.
#show configuration
#show interfaces
#commit
#commit
save
Si ha configurat el sistema i ha seguit els passos anteriors ja tindrà accés remot al sistema NSS utilitzant SSH. S'assegurarà que ha sortit de la sessió que ha iniciat mitjançant el terminal i a continuació des d'alguna de les adreces IP definides com a manegament_ip podrà iniciar una sessió remota al sistema utilitzant algun client SSH.
El nom d'usuari d'administrador es 'admin' i el password serà el qua hagi especificat. Si no ha especificat cap password, aquest correspondrà al de configuració de fàbrica: 'admin'.
Recordi de modificar el
password per defecte del sistema!.
A continuació es mostrarà a través un exemple el funcionament del protocol d'autenticació SSH del NSS. En el següent exemple es pretén establir des de l'adreça IP 10.0.0.6 una connexió remota segura al sistema NSS amb IP 62.0.0.1. El primer que ha de fer es configurar el client SSH
amb els paràmetres de connexió escaients :
Quan intenti accedir per primer cop al sistema NSS
al programa client li sortirà un missatge semblant al següent :
The authenticity of host '62.0.0.1 (62.0.0.1)' can't be established.
RSA key fingerprint is b1:17:a7:e9:13:58:e6:88:d5:97:22:7b:47:e7:61:6f.
Are you sure you want to continue connecting (yes/no)?
Indicant que el servidor SSH ha enviat la seva clau pública al client i que aquest ha comprovat a la seva llista de claus que no
existeix cap clau que coincideixi amb l'enviada. El client notifica d'aquest fet a l'usuari preguntant-li si de totes maneres es vol connectar al servidor
S'aconsella efectuar la primera autenticació SSH en un entorn local en el qual es pugui verificar que veritablement s'ha accedit al sistema NSS.
Seguidament es recomana apuntar el fingerprint retornat pel servidor. Aquest fingerprint li servirà per verificar autenticitat del sistema NSS en futures connexions SSH.
Així doncs si està segur que s'ha connectat al sistema NSS (el fingerprint enviat pel servidor coincideix amb el que s'havia apuntat) pot escriure : 'yes'.
Warning: Permanently added '62.0.0.1' (RSA) to the list of known hosts.
El client SSH informa que s'ha afegit la clau pública del NSS al seu llistat de claus públiques. Això implica que en
futures connexions s'ometrà la confirmació anterior. Seguidament el sistema li demanarà el password d'administrador.
admin@62.0.0.1's password:
Si introdueix el password correcte el sistema li mostrarà la data d'últim accés al mateix així com des de quina adreça IP es va efectuar i la data actual del sistema. Seguidament li apareixerà
el prompt indicant que el sistema està preparat per executar comandes.
Last login: Wed Oct 26 11:18:29 2005 from 10.0.0.
Wed Oct 26 11:15:48 CEST 2005 boot configuration OK. Loaded correctl
Si per algun motiu en futures connexions la clau pública enviada pel servidor no coincidís amb la clau pública que el client havia afegit al seu llistat de claus públiques el client SSH mostrarà un avís semblant al següent.
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
Someone could be eavesdropping on you right now (man-in-the-middle attack)!
It is also possible that the RSA host key has just been changed.
The fingerprint for the RSA key sent by the remote host is
b1:17:a7:e9:13:58:e6:88:d5:97:22:7b:47:e7:61:6f.
Please contact your system administrator.
Add correct host key in /home/albert/.SSH/known_hosts to get rid of this message.
Offending key in /home/albert/.SSH/known_hosts:2
RSA host key for 62.0.0.1 has changed and you have requested strict checking.
Host key verification failed.
En el cas que aparegui aquest missatge l'administrador del sistema haurà de aplicar les mesures per esbrinar el motiu d'aquest fet: un possibles motiu és que el client s'hagi connectat a un altre host amb la
mateixa IP que el sistema NSS inicial o bé que s'hagi alterat el servidor SSH del NSS i/o el fitxer que conté el llistat de claus del client.
Capitol 3 | Index | Tornar al començament | Capitol 5
| 
