Professional Documents
Culture Documents
Auls Lab3
Auls Lab3
Схема мережі:
Додаємо якийсь публічний сервер S1. На ньому поставимо apache2 (apt install apache2)
і імітуватимо веб-сервер в інтернеті. Тоді як наші VM1, VM2 – приватні машини, які
знаходяться за роутером, роутер другим інтерфейсом дивиться на імпровізований інтернет.
Додамо 2-й інтерфейс для R1 - eth1 і вже без VLAN налаштуємо йому IP адресу
8.8.8.100, а на S1 - 8.8.8.8
1
Національний університет «Чернігівська політехніка»
Але взагалі всю лабораторну роботу можна зробити і на одному будь-якому інтерфейсі
нічого не створюючи. Акцентуємо поділ для того, щоб імітувати bridge = ніби комутатор.
Крім того, якщо ми пінгуватимемо сервер з VM1 то він взагалі скаже що мережа
недоступна. Тому що ми взагалі не прописували default gw, а вказали, де знаходиться мережа
172.16.0.0/24.
2
Національний університет «Чернігівська політехніка»
Тепер усі 4 машини чудово пінгують одна одну. Але так не повинно бути. Сірі адреси
не повинні виходити в інтернет! І та мережа, куди дивиться другим інтерфейсом R1, не
повинна знати, де знаходяться адреси 172.16.*.*, 192.168.*.*.
Видалимо deafult gw із S1:
ip ro del default
Настав час поговорити про NAT. NAT (від англ. Network Address Translation -
"перетворення мережевих адрес") – це механізм у мережах TCP/IP, що дозволяє
перетворювати IP-адреси транзитних пакетів. Також має назви IP Masquerading, Network
Masquerading та Native Address Translation. Ми розглянемо маскарадінг. Це SourceNAT
(SNAT) && DestinationNAT (DNAT).
Що нам від NAT взагалі потрібно? А потрібно нам, щоб вихідний у бік S1 пакет
отримував як source ip адресу маршрутизатора, а коли повертався назад - отримував адресою
призначення знову адресу віртуалки.
3
Національний університет «Чернігівська політехніка»
Отже, чого ми досягли? Ми налаштували маскарад для VM2. Це означає, що коли вона
стукатиметься до S1, то S1 побачить адресу не VM2, а адресу роутера! Підтвердження:
4
Національний університет «Чернігівська політехніка»
5
Національний університет «Чернігівська політехніка»
Ядро в залежності від напрямку пакету обробляє його та підставляє правильні ip-
адреси. А ось якщо ми зробимо те саме з VM1, то S1 побачить сірі адреси, і просто не
відповість на цей запит. Подивіться це самостійно. Нагадаємо, що GW на S1 потрібно
видалити.