Charlas 11-12-2000 Umeet'2000

Charlas 11/12/2000

Log de la conferencia. Se han suprimido las líneas correspondientes a entradas y salidas de diferentes personas en el canal durante la conferencia

[22:18] *** uni changes topic to 'Horacio Peña "Policy-routing" (portugues version)'
[22:19] (Horape>Uses of policy routing: a little survey.
[22:19] (Horape>Usos de política de roteamento: um pequeno panorama
[22:19] (Horape>----------------------------------------------------
[22:20] (Horape>Há mais de dois anos, quando o Linux 2.2 estava sendo liberado, eu fui o
[22:20] (Horape>primeiro na tentativa de documentar as novas capacidades das políticas de
[22:20] (Horape>roteamento do Linux. Para ser breve, as políticas de roteamento permitem
[22:20] (Horape>que a decisão de roteamento seja tomada com base no endereço de origem, no
[22:20] (Horape>campo TOS do cabeçalho IP ou ainda em atributos de protocolos de nível mais
[22:21] (Horape>alto (ie, portas TCP ou UDP) em lugar de apenas o endereço do destino, como
[22:21] (Horape>no roteamento padrão.
[22:21] (Horape>O micro-HOWTO que eu escrevi pode ser consultado em
[22:21] (Horape>http://compendium.ar.uninet.edu/policy-routing.txt. há algum tempo eu
[22:21] (Horape>deixei de mantê-lo, porque no "Advanced Routing HOWTO", que está sendo
[22:21] (Horape>trabalhado agora, está planejada a inclusão do assunto com maior
[22:22] (Horape>profundidade (http://www.ds9a.nl/2.4Routing/).
[22:22] (Horape>Nos anos que se seguiram, desde que escrevi o texto, eu tenho recebido
[22:22] (Horape>muitas perguntas e eu estarei me baseando nestas para mostar este pequeno
[22:22] (Horape>panorama do uso de políticas de roteamento.
[22:22] (Horape>- Roteamento baseado no cliente.
[22:23] (Horape>Este é o uso mais simples da política de roteamento. Nós criamos algumas
[22:23] (Horape>tabelas de roteamento e regras para a escolha de alguma delas é baseada no
[22:23] (Horape>endereço IP de origem. Por exemplo :
[22:23] (Horape># 1st routing table
[22:24] (Horape># 1a tabela de roteamento
[22:24] (Horape>ip route add 0.0.0.0/0 dev ippp0 table 100
[22:24] (Horape># 2a tabela de roteamento
[22:24] (Horape>ip route add 0.0.0.0/0 via 10.0.2.3 dev eth1 table 101
[22:24] (Horape># Regras de roteamento
[22:24] (Horape>ip rule add from 192.168.0.0/16 table 100
[22:25] (Horape>ip rule add from 10.0.0.0/8 table 101
[22:25] (Horape>No exemplo, o tráfego da rede 192.168 será roteado através do ISDN e a rede
[22:25] (Horape>10 através do roteador 10.0.2.3.
[22:25] (Horape>- Roteamento baseado no serviço.
[22:26] (Horape>Este é o mais comum e é o que tem gerado mais consultas. Um cenário típico
[22:26] (Horape>tem duas conexões com características e custos diferentes, e nós queremos
[22:26] (Horape>distribuir o tráfego dependendo dos serviços. Para isto vamos precisar da
[22:26] (Horape>capacidade "firewall" de marcar pacotes. Por exemplo:
[22:26] (Horape>Vamos asumir que iface0 seja uma conexão com banda estreita e pouca latência
[22:27] (Horape>e que iface1 seja uma conexão com banda larga e muita latência. É razoável
[22:27] (Horape>querer enviar o tráfego interativo via iface0 e o tráfego normal via iface1.
[22:27] (Horape># Tabelas de roteamento
[22:27] (Horape>ip route add 0.0.0.0/0 dev iface0 table 100 # low latency routing table
[22:27] (Horape>ip route add 0.0.0.0/0 dev iface1
[22:28] (Horape># Marca o tráfego de ssh como interativo
[22:28] (Horape>ipchains -I input -p tcp -d 0/0 22 -m 2
[22:28] (Horape># Os pacotes marcados vão via tabela de baixa latência
[22:28] (Horape>ip rule add fwmark 2 table 100
[22:29] (Horape>Freqüentemente estes esquemqas de roteamento usam o "IP Masquerade" Como o
[22:29] (Horape>IPMasq determina que endereço usar com base nas decisões de roteamento, os
[22:29] (Horape>pacotes retornaão através das mesmas conexões que foram usadas no envio.
[22:29] (Horape>É muito interessante e divertido brincar com estas coisas. Por exemplo
[22:29] (Horape>pode-se estabelecer a conexão usando a conexão rápida e o tráfego dos dados
[22:29] (Horape>acontecer pela conexão barata.
[22:30] (Horape>Note-se que antes do advento do "netfilter" ( série 2.3 do kernel linux ) os
[22:30] (Horape>roteamentos baseados no serviço não poderiam ser usadas para conexões em que
[22:30] (Horape>o roteador em si estivesse envolvido. Isto era devido ao fato da marcação
[22:30] (Horape>do pacote ser feita na cadeia de entrada ( input chain ), pela qual os
[22:30] (Horape>pacotes gerados localmente não passam. O "netfilter" provê o
[22:30] (Horape>NF_IP_LOCAL_OUT "hook" que permite a marcação de pacotes gerados localmente.
[22:31] (Horape>Existem mais informações sobre o "netfilter" em
[22:31] (Horape>http://umeet.uninet.edu/english/pres.eng.html
[22:31] (Horape>- "Conexão Independente Multi-ISP" ( "Independent Multi-ISP Connection" )
[22:32] (Horape>Este nome foi usado para me apresentar um cenário onde uma rede educacional
[22:32] (Horape>do Canadá provia conexões via satélite para seus usuários na internet. Os
[22:32] (Horape>usuários usavam PPP para se conectar com seus ISP's locais e suas
[22:32] (Horape>solicitações eram enviadas a um proxy que respondia via conexão por
[22:32] (Horape>satélite. Como os endereços dos clientes não tinham qualquer padrão que nos
[22:32] (Horape>permitisse determinar se eram de fato clientes nós decidimos que toda
[22:32] (Horape>resposta do proxy seria enviada através da conexão por satélite.
[22:33] (Horape>ip route add 0/0 dev sat0 table 100
[22:33] (Horape>ipchains -I input -p tcp -s proxy 3128 -m 2
[22:33] (Horape>ip rule add fwmark 2 table 100
[22:34] (Horape>- Máquina iscas ( "Honey pots" ).
[22:34] (Horape>Máquinas iscas são utilizadas para estudar os métodos que os "crackers" usam
[22:34] (Horape>para atacar sistemas. Nós precisamos redirecionar os ataques para as
[22:34] (Horape>máquinas iscas. O que pode ser melhor que colocar os servidores legítimos
[22:34] (Horape>como parte das máquinas iscas? Ou pelo menos precer assim...
[22:35] (Horape>A abordagem descrita aqui foi projetada em conjunto com Manuel Pascual
[22:35] (Horape>Escribá, que eu acredito que implementou em seus servidores ( eu tentei
[22:35] (Horape>entrar em contato com ele para confirmação, mas eu não consegui obter uma
[22:35] (Horape>resposta ainda ). Nós fizemos as máquinas isca ter os mesmos endereços dos
[22:35] (Horape>servidores legítimos e redirecionamos todo o tráfego para este endereço, que
[22:35] (Horape>não era relacionado com os serviços reais para as máquinas iscas.
[22:36] (Horape>(Vamos assumir que um servidor web com endereço IP 10.5.6.7 no segmento
[22:36] (Horape>conectado a eth0 no roteador e a máquina chamariz com o mesmo endereço no
[22:36] (Horape>segmento conectado a eth1 )
[22:36] (Horape># Tabelas de roteamento
[22:36] (Horape>ip route 10.5.6.0/24 dev eth0 table 100 # Real
[22:37] (Horape>ip route 10.5.6.0/24 dev eth0 # Pacotes vão para a máquina isca por "default"
[22:37] (Horape># Marcar os pacotes legítimos
[22:37] (Horape>ipchains -I input -p tcp -d 10.5.6.7 80 -m 2
[22:37] (Horape># Pacotes legítimos vão para o servidor real
[22:38] (Horape>ip rule add fwmark 2 table 100
[22:38] (Horape>--------------
Y seguimos un buen rato más charlando...

Contact: