6일차

Masquerading
방화벽 먼저 켜기 https://192.168.56.100:4444 접속
Ubuntu Virtual에서 키기 네트워크 NAT로 설정 포트 22로 설정
xshell 연결 자기 컴퓨터 IP로 접속
사용자 이름 master 비번 12346
@master: 컴퓨터 이름

첫단계 업데이트
sudo apt update
sudo apt upgrade

sudo netstat -ant
sudo apt -y install net-tools
sudo netstat -ant
20,21,22,23,25,53,80,110,143,443,3306
20,21 : FTP
22: SSH
23: TELNET
25: SMTP
53: DNS
80: HTTP
110: POP
143: IMAP
443: HTTPS
3306: MYSQL

127.0.0.1 Local address > 특수 IP(자동으로 설치되어있는 ip)

telnet 서버 구축 설치 > sudo apt-get install xinetd telnetd
samba 서버 구축 설치 > sudo apt-get install samba
 dhcp 서버 구축 설치 > sudo apt-get install isc-dhcp-server
프록시 서버 구축 설치 > sudo apt-get install squid
NFS 서버 구축 > sudo apt-get install nfs-kernel-server
웹 서버 구축 > sudo apt -y install lamp-server^
cd /var/www/html
네임 서버 구축> sudo apt-get -y install bind9
dovecot 설치 > sudo apt -y install dovecot-core dovecot-pop3d dovecot-imapd
roundcube 설치 > sudo apt -y install roundcube


GSN다시 연결
R1
config t
interface fastethernet0/0
ip address 100.100.100.254 255.255.255.0
no shutdown
exit
interface serial1/0
ip address 1.1.1.1 255.255.255.252
no shutdown
exit
router rip
version 2
network 100.100.100.0
network 1.1.1.0


R2
config t
interface fastethernet0/0
ip address 125.246.95.254 255.255.255.0
no shutdown
exit
interface serial1/0
ip address 1.1.1.2 255.255.255.252
no shutdown
exit
router rip
version 2
network 125.246.95.0
network 1.1.1.0


마스커레이딩 하기전

칼리에서 152번대를 치면 핑이 가는데 pc1에서 칼리로보낼땐 핑이안간다 
이유: 막혀있어서 
pc1에서 칼리를 핑을 때리면 R2와 UTM사이에 핑이 나올까? 나온다. e1에다 게이트웨이 254를 줬기 때문에(정적라우팅) 모든패킷은 R2의 254로 간다

UTM에다 방화벽정책 마스커레이딩
insideToAany
inside의 네트워크는 어디든 간다
방화벽에 들어가서 새로운 규칙을 만든다 inside에서 any로 갈수 있게끔 새규칙을 만들어 준다.
nat에도 들어가서 inside에서 outside로 나갈수 있게끔 규칙을 만들어 준다.
이 2가지를해야 pc1에서 칼리나 utm서버로 핑이 가는것을 볼수 있다.



하지만 칼리입장에선 inside에있는 서버를 모르기 때문에 inside안으로 못들어간다.
sudo tcpdump -i eth0 icmp를 치게되면 125.246.95.254만 나온다.


결론: 안에서 바깥으로 보내는거랑 바깥에서 안으로 보내는 것은 다르다.


outside에서 dmz ssh 연결하기

nat로 들어가서 새 규칙을 연다음 트래픽 선택기 any-> ssh-> outside(addreess)
대상번역 st-> ssh로 해준다.
그다음 칼리에서 ssh master@125.246.95.152를 해주면 연결완료

#미션
1.네트워크(라우터)에서 22포트로 접근하는 100.100.100.1을 차단하라
> access-list 중 확장 ACL를 적용하라

R2(config)#$ 100 deny tcp host 100.100.100.1 host 125.246.95.152 eq 22
R2(config)#access-list 100 permit ip any any
R2(config)#int s1/0
R2(config-if)#ip access
R2(config-if)#ip access-group 100 in



2.서버에서 100.100.100.1 IP 차단
tcpwrapper로 검색
항상 먼저 allow부터 설정할것
sudo nano /etc/hosts.allow
sshd: 192.168.0.1


dudo nano /etc/hosts.deny
ALL : ALL


결과


미션2
칼리에서 웹서버에 접속하기
nestat -ant | grep 80
서버에서 80번포트가 열려있는지 확인하고
닫혀있으면 방화벽에서 열어준다.(80번포트는 HTTP)


미션3
도메인 : st
st.kr
칼리에서 st.kr로 접속하기
netstat -ant | grep 53
서버에서 53번포트가 열려있는지 확인하고
닫혀있으면 방화벽에서 열어준다.



그래도 안열림
바깥에선 안의 서버를 모르기 때문에 연결을 못함
칼리로 125.246.95.152한테 물어본다.(칼리 네트워크dns를 바꿔주기)
다시시도 안됨
이번엔 서버 문제 서버에서 st.kr을 돌아가게끔 안해놔서 그럼(현재 ip가 127.0.0.0(특수 ip)으로 설정되어있음)
이 특수ip를 바꿔줘야함

서버에 들어가서 su치고 비번을 치면 안들어가지는데 이유는 root에 암호를 넣은적이 없음
sudo passwd root명령어로 비번:123456 만들어주기
그리고 su를 들어가면 들어갈수 있음




그다음 nano /etc/hosts를 들어가면 파일의 내용을 볼수있고 수정할수 있음
그리고 nano /etc/resolv.conf에 들어가서 127대역대를 10.0.2.15로 바꿔준다.






cd /etc/bind
systemctl restart st.kr




cp db.local st.kr.zone
chown root:bind st.kr.zone
nano st.kr.zone로 들어가면
;
; BIND data file for local loopback interface
;
$TTL    604800
@       IN      SOA     localhost. root.localhost. (
                              2         ; Serial
                         604800         ; Refresh
                          86400         ; Retry
                        2419200         ; Expire
                         604800 )       ; Negative Cache TTL
;
@       IN      NS      ns.st.kr.
@       IN      A       10.0.2.15
ns      IN      A       10.0.2.15
www     IN      A       10.0.2.15
mail    IN      A       10.0.2.15
php     IN      A       10.0.2.15
study   IN      A       10.0.2.15
*       IN      A       10.0.2.15
이렇게 바꿔주기
그리고 다시 systemctl restart named 해주기 - 안됨
서버 ip가 사설 ip인 10.0.2.15로 해줬기 때문에 사설 ip인 125.246.95.152로 바꿔줘야한다.
  GNU nano 8.1                      st.kr.zone                               
;
; BIND data file for local loopback interface
;
$TTL    604800
@       IN      SOA     localhost. root.localhost. (
                              2         ; Serial
                         604800         ; Refresh
                          86400         ; Retry
                        2419200         ; Expire
                         604800 )       ; Negative Cache TTL
;
@       IN      NS      ns.st.kr.
@       IN      A       125.246.95.152
ns      IN      A       125.246.95.152
www     IN      A       125.246.95.152
mail    IN      A       125.246.95.152
php     IN      A       125.246.95.152
study   IN      A       125.246.95.152
*       IN      A       125.246.95.152



이니셜로 작동하게 하기 >
도메인 : st
st.kr
53: dns
칼리에서 st.kr로 접속하라
nestat -ant | grep 53
nat 적용

결과


미션4
칼리에서 ssh로 접속시 email로 알람 설정을 해라
dns서버를 168.126.63.1로 바꾸고
sudo apt-get update
sudo apt-get -y install evolution 이후
dns서버를 125.246.95.152로 다시 바꿔준다.

ubuntu에서 sudo apt -y install sendmail
systemctl start snedmail
25
110
143포트 확인후
 nat에 똑같이 넣어준다.