SNAT + (od)blokowanie DNS
SNAT
1. Niech EthInternet to złącze eth2 w routerze RouterBoard Mikrotik, do którego kablem ethernetowym będzie
podłączona sieć zewnętrza umożliwiająca dostęp do Internetu oraz przydzielająca adresy protokołem DHCP. Należy ustawić urządzenie jako zwykły router z NAT udostępniające połączenie Internetowe sieci wewnętrznej podpiętej do portu Eth4.
a) Należy dla EthInternet włączyć pobieranie adresu jako klient DHCP; okno IP->DHCP Client->+Add i wybrać EthInternet.
b) W routerze tym adres IP na EthInternet, ścieżka domyślna i adres serwera DNS powinna być pobrana przez DHCP i należy to sprawdzić. W oknie IP->Addresses powinien się pojawić jakiś adres, w oknie IP->Routes powinna się pojawić sieć sieć 0.0.0.0/0, interfejs EthInternet, w oknie IP->DNS->Dynamic Servers powinien się pojawić wpis odnośnie serwera DNS.
c) Powinno się dać pingować z routera na adresy zewnętrzne (okno Tools->Ping, przykładowy adres to 8.8.8.8;
wp.pl).
d) Należy włączyć SNAT na tym interfejsie (okno IP→Firewall→NAT→+(Add), chain: srcnat, Out. Interface:
EthInternet, action=masquerade)
2. Należy w maszynie wirtualnej wyłączyć wszystkie interfejsy oprócz drugiego.
3. Proszę ustawić połączenie pomiędzy eth2 maszyny wirtualnej a portem MT-eth4, tak aby połączenie to posłużyło jako połączenie z Internetem dla maszyny wirtualnej.
a) W routerze dla portu MT-eth4 należy ustawić adres 192.168.1.1 w sieci /24 (okno IP→Addresses),
b) Dla portu drugiego maszyny wirtualnej proszę ustawić adres 192.168.1.2 w sieci /24, jako bramę domyślą adres MT-eth4, czyli 192.168.1.1, natomiast jako adresy DNS 208.67.222.222 i 8.8.8.8.
c) Maszyna wirtualna powinna mieć dostęp do Internetu i należy to sprawdzić poleceniem konsoli „tracert -d -w 222 8.8.8.8”.
DNS + przekierowanie dns
1. Niech DOMENAX to nazwa dowolnej, prawidłowej domeny, na przykład wp.pl 2. Proszę włączyć w MT serwer DNS (ip→dns→allow remote requests)
3. Należy ustawić adres DNS dla drugiej karty sieciowej w maszynie wirtualnej na adres MT, czyli 192.168.1.1.
Maszyna wirtualna Maszyna fizyczna
eth1 eth2 eth3 eth4 Eth1
karta wbudowana
Eth2 karta dodatkowa
MT
eth1 eth2 eth3 eth4
Sieć zewn.
mostek
4. Maszyna wirtualna powinna mieć dostęp Internetu oraz nie powinna mieć problemu z uzyskaniem adresu IP dla nazw domenowych. Można to sprawdzić poleceniem „ping DOMENAX”
5. Proszę zbadać zawartość cache'u DNS w MT (ip→dns→cache)
6. Dodać dla wybranego adresu domeny, np. DOMENAX statyczny wpis dns wskazujący na adres 1.2.3.4 pod MT (ip→dns→static)
7. Wyczyścić cache dns windowsa poleceniem ipconfig /flushdns
8. Windows powinien mieć dostęp do wszystkich domen poza DOMENAX. Sprawdzić, czy „ping DOMENAX”
wskazuje na adres 1.2.3.4
9. Ustawić dla maszyny wirtualnej adres serwera dns na zewnętrzny adres dowolnego zewnętrznego serwera DNS, na przykład 8.8.8.8 i/lub 208.67.222.222
10. Windows pod maszyną wirtualną powinien uzyskać dostęp do serwera DOMENAX, ponieważ przestał on używać serwera DNS na MT.
11. Proszę włączyć przechwytywanie wszystkich zapytań DNS (UDP, port 53) na MT (ip→firewall→nat→add.
chain:dnat, protocol: udp, dst. port: 53, action: redirect)
12. Wyczyścić cache dns windowsa poleceniem ipconfig /flushdns
13. Ponownie windows powinien mieć dostęp do wszystkich domen poza DOMENAX. Sprawdzić, czy ping DOMENAX wskazuje na adres 1.2.3.4.
14. Proszę dodać do pliku Windows\System32\drivers\etc\hosts odpowiedni wpis dla „DOMENAX” pobierając adres IP dla wp.pl ze strony http://www.dnsqueries.com