Interconnexió de xarxes

Continguts
1. Arquitectura de xarxa TCP/IP
2. El protocol IP
3. El protocol TCP
4. Els serveis de xarxa
5. Comandaments útils per a la gestió de xarxes
6. Elements d’interconnexió.
7. Interconnexió de xarxes
1. Encaminament del transit entre interfícies de
xarxa.
2. Tallafocs. Filtrat del transit entre xarxes.
3. Reexpedició de ports. NAT
1. Arquitectura de xarxa TCP/IP
Internet és una xarxa pública i global d'ordinadors que estan interconnectats mitjançant
el protocol d'Internet (Internet Protocol) i que comuniquen mitjançant la commutació de
paquets. Internet és la unió de milions de subxarxes domèstiques, acadèmiques,
comercials i governamentals; és per això que a vegades se l'anomena «la xarxa de
xarxes».

Malgrat que hi ha una gran diversitat d'arquitectures de xarxa, la família de protocols

TCP/IP s'utilitza en la majoria de xarxes que conformen Internet, així com les intranet
d'empreses, centres educatius, zones WIFI, oficines i llars.

La denominació TCP/IP fa referència als seus dos protocols més importants: el Protocol
d'Internet (IP) i el Protocol de Transferència de Dades (TCP).

1.1. Model de capes

Model TCP/IP vs OSI

Model OSI vs TCP/IP

Capa d'aplicació
La capa d’aplicació TCP/IP es correspon amb les capes d’aplicació, presentació i sessió
del model OSI.

La capa d’aplicació és la capa que els programes utilitzen per comunicar-se a través de
la xarxa amb altres programes.

Alguns programes que proporcionen serveis que treballen directament amb les
aplicacions d’usuari i els seus corresponents protocols de la capa d’aplicació són, per
exemple, HTTP (hypertext transfer protocol), FTP (file transfer protocol), SMTP
(simple mail transfer protocol), SSH (secure shell), entre d’altres.

Capa de transport
La capa de transport TCP/IP es correspon amb la capa de transport del model OSI.

Els protocols de la capa de transport solucionen problemes com la fiabilitat i la seguretat

que les dades arriben a la destinació i ho fan en l’ordre correcte. Hi ha dos protocols
bàsics en la capa de transport:

 TCP. És un protocol fiable orientat a la connexió, que fa que un flux de bytes

de l’aplicació de la màquina origen sigui lliurat sense errors a l’aplicació de
qualsevol màquina destinació de la xarxa. Aquest protocol fragmenta el flux
procedent de la capa d’aplicació en missatges més petits i després d’encapsular-
los els transmet a la capa d’interxarxa. En la màquina destinació, el procés que
els rep els reassembla per obtenir el flux original que envia cap a la capa
d’aplicació.
 UDP. És un protocol no fiable, sense connexió, per a aplicacions que no
necessiten ni l’assignació d’una seqüència ni el control de flux de TCP, o que
volen utilitzar els seus mitjans de control propis. Aquest protocol és molt
utilitzat en consultes de petició i resposta d’un sol cop i en aplicacions en què la
rapidesa del lliurament és més important que l’exactitud de les dades, com per
exemple en la transmissions de veu o de vídeo.

Capa de xarxa (o interxarxa)

La capa d’Internet del model TCP/IP és equivalent a la capa de xarxa del model OSI.

La missió fonamental d’aquesta capa és fer que els nodes implicats en la comunicació
envien els paquets per qualsevol xarxa i els facin viatjar independentment cap a la
seva destinació. Els paquets fins i tot podrien arribar a la seva destinació cada un per un
camí diferent, i fins i tot en diferent ordre de com van sortir de l’emissor. En qualsevol
cas, la seva reorganització correspon a la capa de transport.

Per a realitzar dita funció ha de proporcionar també un mecanisme d'adreçament.

Capa d'accés a la xarxa
La capa d’accés a la xarxa del model TCP/IP és equivalent a les capes d’enllaç i física
del model OSI.

En el model TCP/IP només s’indica que el node s’ha de connectar a la xarxa fent ús dels
protocols que hi ha a la xarxa física en qüestió, de manera que es puguin enviar paquets
IP. Aquests protocols varien segons quines siguin les tecnologies de transmissió i els
medis de xarxa que s’utilitzin.

Capa física

El propòsit de la capa física és transportar un corrent de bits en brut d’una màquina a

una altra.

La capa física és la capa més baixa de la jerarquia de comunicacions. En la capa física

hi ha definits els senyals i els medis utilitzats per transmetre aquests senyals.

Hi ha diferents tipus de medis físics per fer aquest transport, cada un en el seu ambient
propi en termes d’amplada de banda, retard, cost, facilitat d’instal·lació o manteniment.

Quadre resum model TCP/IP

Quadre resum model TCP/IP

Què és un protocol?
Un protocol és un conjunt de normes perfectament organitzades i mútuament acordades
entre els participants en una comunicació. La seua missió es regular algun aspecte de la
comunicació.

1.1.2. Què és un servei de capa?

En el model TCP/IP, el protocols de les capes inferiors ofereixen un servei al protocol
de la capa immediatament superior mitjançant una interfície que comunica ambdues
capes. A més a més ofereix un servei a l'usuari final, és a dir, facilita a les aplicacions
d'usuari l'ús d'Internet i d'altres xarxes.

Encapsulament
Per a aconseguir els objectius descrits anteriorment cada protocol afegeix una
informació de control a la unitat de dades entregada per la capa superior.

Exemple d'encapçalament

Exemple d'encapçalament
Unitats d'informació

El conjunt d’informació composta per l’encapçalament més les dades rep noms
diferents segons el nivell on està situada:

 En la capa de transport es denomina segment.

 En el nivell de capa de xarxa es denomina paquet.
 En el nivell de capa d’enllaç, trama.
 En el nivell de capa física, bit.

1.1.3. Estructura de xarxa

Quan la gent intenta accedir a informació en els seus dispositius, ja siguin un ordinador
personal o portàtil, una tauleta digital, un telèfon o qualsevol altre dispositiu connectat a
la xarxa, les dades poden estar o no emmagatzemades físicament als seus dispositius, en
cas de no estar-hi caldrà accedir a ells de forma remota fent ús de xarxes client-servidor
o xarxes d’igual a igual (P2P).

Model client/servidor
Una xarxa client-servidor és aquella on tots els clients estan connectats a un servidor on
es centralitzen els diferents recursos. Aquests recursos estan a disposició dels clients
cada cop que els sol·liciten. Això fa que totes les gestions que es realitzen es concentren
en el servidor, que disposa dels requeriments dels clients amb prioritat, els arxius que
són d'ús públic i els restringits, els arxius de només lectura, els que poden ser
modificats, etc.
En el model client/servidor, el dispositiu que sol·licita informació es denomina client i
el dispositiu que respon la sol·licitud es denomina servidor. Els processos de client i
servidor es consideren una part de la capa d’aplicació. El client comença l’intercanvi
sol·licitant les dades al servidor, que respon enviant un o més blocs de dades al client.
Els protocols de capa d’aplicació descriuen el format de les sol·licituds i respostes entre
clients i servidor. A més de la transferència real de dades, aquest intercanvi pot requerir
informació addicional, com l’autentificació de l’usuari i la identificació d’un arxiu de
dades per transferir.

Un exemple d’una xarxa client/servidor és un entorn corporatiu en què els empleats

utilitzen un servidor de correu electrònic de l’empresa per enviar, rebre i emmagatzemar
correu. El client de correu electrònic en l’ordinador d’un empleat emet una sol·licitud al
servidor de correu per un missatge no llegit. El servidor respon enviant el correu
sol·licitat al client.

Encara que les dades generalment es descriuen com un flux del servidor al client,
algunes dades sempre flueixen del client al servidor. El flux de dades pot ser el mateix
en les dues direccions o fins i tot ser major en la direcció que va del client al servidor.
Per exemple, un client pot transferir un arxiu al servidor amb finalitats
d’emmagatzemament. La transferència de dades d’un client a un servidor es coneix com
a pujada i la de les dades d’un servidor a un client, baixada.

Xarxes d'igual a igual (punt a punt)

En una xarxa entre iguals, dos o més ordinadors estan connectats per mitjà d’una xarxa i
poden compartir recursos (per exemple, impressora i arxius) sense tenir un servidor
dedicat. Cada dispositiu final connectat (conegut com a punt) pot funcionar com un
servidor o com un client. Un ordinador pot assumir el paper de servidor per a una
transacció mentre funciona de manera simultània com a client per a una altra transacció.
Els papers del client i del servidor es configuren segons les sol·licituds.

Un exemple d’una xarxa entre iguals és una simple xarxa domèstica amb dos ordinadors
connectats que comparteixen una impressora. Cada persona pot configurar el seu
ordinador per compartir arxius, habilitar jocs en xarxa o compartir una connexió
d’Internet. Un altre exemple sobre la funcionalitat de la xarxa punt a punt són dos
ordinadors connectats a una gran xarxa que utilitzen aplicacions de programari per
compartir recursos a través de la Xarxa.

A diferència del model client/servidor, que utilitza servidors dedicats, les xarxes punt a
punt descentralitzen els recursos en una xarxa com es detalla en la figura següent. En
lloc d’ubicar informació per compartir en els servidors dedicats, la informació es pot
col·locar en qualsevol part d’un dispositiu connectat. La majoria dels sistemes operatius
actuals admeten compartir arxius i impressores sense requerir programari addicional del
servidor. Ja que les xarxes punt a punt generalment no utilitzen comptes d’usuaris
centralitzats, permisos ni monitors, és difícil implementar les polítiques d’accés i
seguretat en les xarxes que contenen més quantitat d’ordinadors. Cal establir comptes
d’usuari i drets d’accés de manera individual per a cada dispositiU.
2. El protocol IP
La versió més usada actualment del protocol IP és la IPv4, definida en l’RFC 791 del
1981. Actualment ja disposa d’un successor, la IPv6, l’ús de la qual es va estenent
progressivament.

Totes les versions del protocol IP permeten l’enviament de paquets entre equips sense
establir cap mena de connexió. Això vol dir que l’ordinador amfitrió origen envia dades
al destinatari sense esperar cap mena de notificació que les dades s’han rebut
correctament.

Avui dia, el TCP/IP és el conjunt de protocols escollit per a la immensa majoria de les
xarxes actuals i, per descomptat, per a qualsevol sistema que es vulgui connectar a
Internet.

Tot i que per enviar dades entre dos ordinadors amfitrions ja n’hi ha prou amb el
protocol IP, no ofereix cap mena de garantia que s’enviïn correctament les dades o, ni
tan sols, que arribin a la destinació. De fet, no ens garanteix que les dades, si arriben a la
destinació, estiguin intactes, ja que el control d’errors només es fa sobre les capçaleres,
no sobre les dades que transmet. Així doncs, tot i que es pot fer servir IP directament,
per a aplicacions que requereixen fiabilitat fan servir al protocol de la capa de transport
TCP.

La versió més usada actualment del protocol IP és la IPv4, definida en l’RFC 791 del
1981. Actualment ja disposa d’un successor, la IPv6, l’ús de la qual es va estenent
progressivament.

Totes les versions del protocol IP permeten l’enviament de paquets entre equips sense
establir cap mena de connexió. Això vol dir que l’ordinador amfitrió origen envia dades
al destinatari sense esperar cap mena de notificació que les dades s’han rebut
correctament.
Avui dia, el TCP/IP és el conjunt de protocols escollit per a la immensa majoria de les
xarxes actuals i, per descomptat, per a qualsevol sistema que es vulgui connectar a
Internet.

Tot i que per enviar dades entre dos ordinadors amfitrions ja n’hi ha prou amb el
protocol IP, no ofereix cap mena de garantia que s’enviïn correctament les dades o, ni
tan sols, que arribin a la destinació. De fet, no ens garanteix que les dades, si arriben a la
destinació, estiguin intactes, ja que el control d’errors només es fa sobre les capçaleres,
no sobre les dades que transmet. Així doncs, tot i que es pot fer servir IP directament,
per a aplicacions que requereixen fiabilitat fan servir al protocol de la capa de transport
TCP.

La versió més usada actualment del protocol IP és la IPv4, definida en l’RFC 791 del
1981. Actualment ja disposa d’un successor, la IPv6, l’ús de la qual es va estenent
progressivament.

Totes les versions del protocol IP permeten l’enviament de paquets entre equips sense
establir cap mena de connexió. Això vol dir que l’ordinador amfitrió origen envia dades
al destinatari sense esperar cap mena de notificació que les dades s’han rebut
correctament.

Tot i que per enviar dades entre dos ordinadors amfitrions ja n’hi ha prou amb el
protocol IP, no ofereix cap mena de garantia que s’enviïn correctament les dades o, ni
tan sols, que arribin a la destinació. De fet, no ens garanteix que les dades, si arriben a la
destinació, estiguin intactes, ja que el control d’errors només es fa sobre les capçaleres,
no sobre les dades que transmet. Així doncs, tot i que es pot fer servir IP directament,
per a aplicacions que requereixen fiabilitat fan servir al protocol de la capa de transport
TCP.

2.1. Configuració d'un node IP

En primer lloc, caldrà configurar els protocols TCP/IP locals que solen incloure en el
nucli de qualsevol sistema operatiu modern.

A l'hora de configurar l'equip, caldrà disposaran de la següent informació:

 L'adreça IP, ja sigui de la versió 4 o de la nova versió 6.

 La màscara de subxarxa, que serveix per identificar la xarxa o subxarxa.

Si la comunicació s'estableix amb equips d'altres subxarxes o amb Internet, es

necessitarà a més:

 L'adreça IP de la porta d'enllaç (gateway) o passarel·la per omissió que

correspon al router i amb el qual es redirigeix el tràfic a Internet o a altres
subxarxes.
 Les adreces IP dels servidors DNS.
El protocol IP té les següents funcions:

 Triar el camí més adequat per a enviar els paquets.

 Implementa un servei d'enviament amb les característiques següents:
o No orientat a la connexió. Cada paquet pot seguir un camí distint.
Per la qual cosa poden arribar desordenats.
o No fiable. Els paquets poden perdre's, danyar-se o arribar amb retard.
 Proporciona un mecanisme d'adreçament lògic (adreces IP).

Adreçament IP
L’adreça IP és un nombre de 32 bits que identifica cada una de les màquines que estan
connectades a Internet o a qualsevol xarxa, i també la xarxa a la qual estan connectades.
Una part de l’adreça IP, segons la seua màscara de xarxa, serveix per identificar la
xarxa, sent el tros restant de la direcció IP la que identifica la màquina.

IP dividida en xarxa i ordinador

IP dividida en xarxa i ordinador

Per poder separar el camp que identifica la xarxa del camp que identifica la màquina,
s’ha d’aplicar una màscara de xarxa. És a dir, al aplicar la operació lògica AND entre
la màscara de xarxa i l’adreça IP s’obté la xarxa.

Classes d'adreça IPv4

Hi ha tres classes principals d’adreces IP:

 Adreça de classe A: el primer octet identifica la xarxa.

 Adreça de classe B: els dos primers octets identifiquen la
xarxa.
 Adreça de classe C: els tres primers octets identifiquen la
xarxa.
 A més de dues classes addicionals que es tracten per separat:

 Adreça de classe D: Es tracta d’un conjunt d’adreces

reservades per multidifusió.
 Adreça de classe E: Es tracta d’una classe reservada.
C Núm
l . Màsca
Interval Núm.
a màxi ra Adreça de
d'adrec màxim
s m de estàn difusió
es de nodes
s xarx dard
e es

1.0.0.0 16.777.21 255.0. x.255.255.2

A 126
- 4 0.0 55
126.0.0.0

128.0.0.0 16.38 255.25

B 65.534 x.x.255.255
- 4 5.0.0
191.255.0.0

255.25
192.0.0.0 2.097.
C - 254 5.255. x.x.x.255
223.255.255 152
.0 0

224.0.0.0
D -
239.255.255
.0

240.0.0.0
E -
255.255.255
.255

Adreçament sense classe (CIDR)

Amb la ràpida expansió d’Internet va quedar clar que l'adreçament basat en classes no
era suficient, és per això que l’any 1993 es va proposar la CIDR (classless inter-domain
routing) que vol dir encaminament entre dominis sense classe. Gràcies a aquest sistema
es millora el mètode amb el que s’interpreten les adreces IP a més de com s’encaminen
els paquets.
En lloc de parlar de classes es fa servir el nombre de bits a 1 de la màscara de xarxa per
tal d’indicar la xarxa. Les classes A, B i C tindrien una màscara de xarxa amb 8, 16 i 24
bits a 1 respectivament. Per exemple, per tal de definir la xarxa que va del 192.168.0.0 a
la 192.168.255.255 (seria una classe B) indiquem la IP i amb un barra els 16 bits a 1 de
la màscara de xarxa. Per tant la notació seria: 192.168.0.0/16

Per poder fer ús de CIDR, els encaminadors de la xarxa han de ser capaços d’interpretar
adreces IP que no pertanyen a cap de les classes convencionals (A, B o C).

Adreces reservades i/o especials

 Quan l’identificador d’equip és 0, es fa referència a la xarxa a la qual està
connectat.
 Quan l’identificador d’equip són tot 1 vol dir totes les màquines; això seria una
adreça de difusió (broadcast).
 Quan tota l’adreça són 0 indica totes les IPs de la màquina.
 Adreça de loopback. La xarxa 127.0.0.0/8 indica que el paquet es que a la
mateixa màquina i retorna internament, es refereix sempre al equip local.
 Adreces privades. Són adreces que només es poden utilitzar dins d’una
organització privada no encaminables. Els blocs d’adreces privades són els
següents:
o 10.0.0.0/8: és una classe A que permet 224 hosts a la xarxa. Per la
grandària que té se sol dividir en subxarxes.
o 172.16.0.0/12: és una xarxa que admet fins a 220 equips connectats a la
xarxa
o 192.168.0.0/16: és una classe C que permet fins a 216 equips. Encara que
sigui la més petita de les tres és la més comuna.

 Quan l’identificador d’equip és 0, es fa referència a la xarxa a la qual està

connectat. Per exemple: 10.0.0.0/8
 Quan l’identificador d’equip són tot 1 vol dir totes les màquines; això seria una
adreça de difusió (broadcast). Per exemple: 10.255.255.255/8
 Quan tota l’adreça són 0 indica totes les IPs de la màquina. Per exemple:
0.0.0.0/0
 Adreça de loopback. La xarxa 127.0.0.0/8 indica que el paquet es que a la
mateixa màquina i retorna internament, es refereix sempre al equip local.
 Adreces d'enllaç local: L'objectiu de la xarxa 169.254.0.0/16 és proveir d'una
adreça IP als nodes sense necessitat de tenir disponible un servidor DCHP.
Aquestes adreces no són encaminables.
 Adreces privades. Són adreces que només es poden utilitzar dins d’una
organització privada no encaminables. Els blocs d’adreces privades són els
següents:
o 10.0.0.0/8: és una classe A que permet 224 hosts a la xarxa. Per la
grandària que té se sol dividir en subxarxes.
o 172.16.0.0/12: és una xarxa que admet fins a 220 equips connectats a la
xarxa
 o 192.168.0.0/16: és una classe C que permet fins a 254 equips. Encara que
sigui la més menuda de les tres és la més comuna.

Mètodes de transmissió

Les mètodes de transmissió poden ser els següents.

 Unidifusió (Unicast). El destinatari és un dispositiu.

 Multidifusió (Multicast). Els destinataris són un grup de dispositius.
 Difusió (Broadcast). Els destinataris són tots els dispositius de la xarxa.

Configurar targeta de xarxa usant el terminal

1. Identificar la interfície de xarxa

En els sistemes basats en Linux les interfícies de xarxa (NIC) tenen un nom lògic.
Històricament s'empra la nomenclatura eth0, eth1 o wlan01, etc. Actualment els nous
sistemes identifiquen les interfícies segons la posició que ocupen al bus del sistema
(Predictable Interface Names). Així és més senzill identificar-les.

Usarem ifconfig -a per llistar totes les interfícies de xarxa.

2. Configurar la interfície amb assignació de direcció dinàmica IP (Client DHCP)

Per a configurar una interfície cal editar l'arxiu /etc/network/interfaces amb un

editor de texts com nano. En l'exemple assumim que volem configurar la
interfície enp2s0.

auto enp2s0
iface enp2s0 inet dhcp

Afegint la configuració com es mostra més amunt pots activar manualment mitjançant
l'ordre ifup que inicialitza el procés DHCP.

sudo ifup enp2s0

Per a desactivar la interfície, pots usar l'ordre ifdown, això iniciarà la desactivació del
procés DHCP i apagarà la interfície.

sudo ifdown en2s0

3. El protocol TCP
El protocol TCP (Transmission Control Protocol o protocol de control de transmissió)
va ser dissenyat per a funcionar en xarxes poc fiables. És un protocol de la capa de
transport (nivell 4) i l'objectiu principal és aportar fiabilitat a les transmissions basades
en TCP/IP.

La fiabilitat que aporta TCP el fa ideal per a comunicacions on volem assegurar que les
dades arriben correctament, sense pèrdues ni errors. La part negativa d'aquest fiabilitat
és la càrrega addicional de trànsit que suposa en les comunicacions.

El protocol TCP proporciona un punt d'accés a les aplicacions mitjançant els ports,
números enters que permeten identificar unívocament les aplicacions que estan
comunicant-se.

Els ports es classifiquen de la següent manera:

 Ports ben coneguts. Els ports inferiors al 1024 són ports

reservats per al sistema operatiu i per protocols ben coneguts, com
HTTP (servidor Web), POP3/SMTP (servidor de e-mail).
 Ports registrats: Els compresos entre 1024 i 49151 són
denominats "registrats" i poden ser utilitzats per qualsevol aplicació.
Existeix una llista pública en la web del IANA on pot veure's quin
protocol usa cadascun d'ells.
 Ports dinàmics, privats o efímers. Els compresos entre els
números 49152 i 65535. S'assignen de forma dinàmica a les
aplicacions clients en iniciar la connexió.

Connexions establertes actualment amb TCP.

Per saber més
En el següent recurs podràs accedir a un llistats de ports de xarxa ben coneguts i
reservats:

Número de puertos de red

Socket d'internet
Socket designa un concepte abstracte pel qual dos programes (possiblement situats a
ordinadors diferents) poden intercanviar qualsevol flux de dades, generalment de
manera fiable i ordenada. Tot socket està definit per una adreça de socket. L'adreça
de socket és una combinació de tres elements: una adreça IP, un protocol de transport i
un número de port (per exemple: 84.88.125.15, TCP, 2300).

Més informació en Socket d'Internet

Exemples de connexions

Exemple 1:
Exemple 2:

Exemple 3:
4. Els serveis de xarxa
Quan parlem de serveis de xarxa ens referim a aquelles aplicacions que s'executen en
segon plànol (background), normalment sense interacció per part de l'usuari, i que estan
contínuament esperant (listening) la petició per part d'un client. Una vegada reben una
petició s'encarreguen de gestionar la resposta adequada.

L'ordre netstat amb els paràmetres -tln ens mostra els serveis que actualment estan
escoltant peticions per TCP.

Serveis esperant peticions per TCP

Els serveis de xarxa és situen en el nivell més alt de l'estructura de capes, el d'aplicació.
Algunes dels serveis més significatius són:

 HTTP
 DHCP
 DNS
 FTP
 SMTP
 SSH
 POP
 IMAP

Activitat: Serveis de xarxa

1. Crea un taula en un document de text en les següents columnes: servei, significat de
les sigles, funció, port/s que usa, protocol de transport. Per exemple:

Protocol de
Servei Nom Funció Ports
transport
HyperText Transport Intercanviar documents d'hipertext i
HTTP 80 TCP
Protocol multimèdia

2. Comprova quins serveis estan actualment executant-se en el teu equip tant en TCP
com en UDP. Hi ha algun ben conegut?

El fitxer /etc/services

Cada línia d'aquest fitxer especifica el nom, el número de port, el protocol utilitzat i els
àlies de tots els serveis de xarxa existents (o, si no tots els existents, d'un subconjunt
prou ampli per a que determinats programes de xarxa funcionin correctament). Per
exemple, per especificar que el servei SMTP usarà el port 25, el protocol TCP i que un
àlies perquè sigui mail, hi haurà una línia similar a la següent:

smtp 25 / tcp mail

5. Comandaments
Les següents utilitats són emprades en la majoria de sistemes operatius i permeten
diagnosticar problemes, controlar els serveis i canviar la configuració.

PING

Ping (Packet Internet Groper) és una utilitat que serveix per a enviar missatges a una
adreça concreta de xarxa amb la finalitat de realitzar una comprovació utilitzat el
protocol ICMP. El node destinatari ens respondrà amb un paquet per a confirmar-nos
que els dos nodes poden comunicar-se perfectament.

ifconfig

Permet obtenir la informació de la configuració IP del node, així com modificar-la de

forma no persistent. El comandament iwconfig permet veure la configuració IP de les
connexions sense fils.

netstat

netstat proporciona informació sobre les connexions de xarxa.

ip route

ip route mostra la taula d'encaminament del node on s'executa.

traceroute

traceroute ens mostra els encaminadors (routers) pels que passa un paquet fins arribar
al seu destí.

nslookup

nslookup permet fer consultes de noms de domini i comprovar quin servidor ens
ofereix la resposta.

ifup / ifdown

els dos comandaments permeten activar o desactivar la interfície de xarxa indicada.

Per a més informació de cada utilitat podeu usar el comandament man seguit de la
utilitat de la que es vol mostrar informació.

Per exemple: man nslookup

Activitat: Comandaments
Realitza amb els comandaments anteriors les tasques necessàries per a descobrir quina
és la configuració de la xarxa, demostrant mitjançant captures la justificació de la
resposta:

 Adreça IP
 Màscara de xarxa
 Porta d'enllaç
 Servidors DNS

5.2. Gestió de serveis

Per a la gestió dels serveis s'utilitza la utilitat service de la següent forma:

# service nom-del-servei [stop|start|force-load|restart]

5.3. Registre del sistema (logs)

Tots els sistemes operatius inclouen un sistema per a registrar els esdeveniments que
ocorren en el sistema operatiu. En el cas de Linux aquests registres són arxius de text
pla que es troben a la carpeta /var/log.

En la configuració i monitorització dels serveis de xarxa tenen un paper molt important

perquè ens poden ajudar a diagnosticar els problemes que sorgeixen.

Els serveis poden tindre el seu propi arxiu de registre o usar el registre del sistema. El
registre del sistema es guarda en l'arxiu /var/log/syslog i al tractar-se d'un arxiu de
text el podem consultar simplement usant el comandament cat.

$cat /var/log/syslog

Un altra utilitat interessant és el comandament tail, que permet visualitzar les últimes
línies dels arxius de text. Amb l'argument -f mostra les últimes línies en temps real, és
a dir, a mesura que va modificant-se l'arxiu. Mitjançant l'argument -n podem indicar el
número de línies que es possible visualitzar. En el següent exemple mostrem en temps
real les últimes 20 línies de l'arxiu de registre dels sistema.

$tail -fn 20 /var/log/syslog

Activitat: Resol
Imagina que vas a configurar i un node IP però desconeixes la configuració IP de la
xarxa. Sols disposes de la següent informació:

ip route
default via 192.168.1.1 dev eth1 proto static
192.168.1.0/24 dev eth1 proto kernel scope link src 192.168.1.132 metric 1

nslookup www.google.com

Server: 201.20.1.1
Address: 201.20.1.1#53

Non-authoritative answer:
Name: www.google.com
Address: 172.217.17.36

Planteja una possible configuració per al node IP. Seria suficient? Justifica la resposta.
7. Interconnexió de xarxes
En el següent capítol analitzarem les diferents opcions existents per a interconnectar
xarxes i el paper fonamental que tenen els tallafocs les configuracions de xarxa actuals.

En primer lloc es repassarà com funciona l'encaminament. Després s'explicarà com

configurar adequadament un tallafocs, i per últim s'exposarà la importància de la
traducció d'adreces de xarxa.

7.1. Encaminament
1. Encaminament
L'encaminament IP és una de les funcions fonamentals que els dispositius encaminadors
han de fer. Consisteix fonamentalment a determinar quina és la ruta que ha de seguir un
paquet de dades d'un node d'origen fins a un host de destinació basant-se en factors com
poden ser els següents:

 Nombre de salts de l'origen a la destinació

 Amplada de banda de la línia
 Nombre d'usuaris connectats
 Prioritats

Aquest tipus d'encaminament lògic proporciona una gran flexibilitat ja que els paquets
poden viatjar per diferents rutes depenen de l'estat de la xarxa en un moment determinat.

L'encaminament es pot fer de dues maneres, amb rutes estàtiques o dinàmiques.

1.1. Encaminament IP per rutes estàtiques

Les rutes estàtiques són aquelles que l'administrador introdueix en els encaminadors
manualment, això comporta que s'hagi de tenir un profund coneixement de la xarxa que
estem configurant, a més és un sistema que no varia amb el temps i no s'actualitzen les
taules d'encaminament d'una manera automàtica quan hi ha modificacions en la xarxa.

Rutes per defecte

Les rutes per defecte permeten substituir totes les rutes estàtiques que tenen una mateixa
porta d’enllaç, això implica una tasca administrativa inferior que si hem d’especificar
cadascuna de les rutes.

Per configurar una ruta estàtica utilitzem l’ordre ip route amb l’identificador de xarxa
a 0 i la màscara a 0, aquests valors indiquen qualsevol destinació amb qualsevol
màscara.
1.2. Rutes dinàmiques
Les rutes es generen automàticament quan es configura un protocol dinàmic en diversos
encaminadors. Aquests comparteixen les taules en intervals determinats de temps
periòdicament.

Encaminament IP per rutes dinàmiques

Les rutes dinàmiques es generen automàticament en els encaminadors quan activem els
protocols d’encaminament per a les diferents xarxes, a diferència de les rutes estàtiques
les taules d’encaminament es configuren automàticament davant de qualsevol canvi en
la xarxa, això ens permet una major escalabilitat i fiabilitat per a la gestió i resolució de
rutes.

S’ha de tenir en compte que es poden presentar problemes de redundància de rutes i es

poden generar bucles d’encaminament.

Quan tots els encaminadors han generat les seves taules i han actualitzat als dispositius
veïns es diu que han convergit.

Encaminament en un node
Quan un host ha d'enviar un paquet:

1. Extreu del paquet l'adreça de destinació.

2. Extreu de l'adreça de destinació la part de la xarxa.
3. Compara la part de la xarxa de destinació amb la seua pròpia adreça de xarxa.
4. Si tots dos coincideixen llavors el destí està en la seva mateixa LAN i envia el
paquet directament al destinatari.
5. Si no coincideixen envia el paquet al seu encaminador per defecte, el qual
s'encarrega d'enviar el paquet cap al seu destí.

L'encaminador per defecte sempre està en la mateixa LAN que el host.

Convertir Ubuntu Server en un encaminador

1. Activar encaminament
El primer pas és activar IPv4 packet forwarding editant l’arxiu /etc/sysctl.conf i
descomentant la següent línia:

net.ipv4.ip_forward=1

Si voleu habilitar IPv6 forwarding descomenta també:

net.ipv6.conf.default.forwarding=1
Després per executa el comandament sysctl per a activar la nova configuració de
l’arxiu:

sudo sysctl -p

2. Afegir rutes estàtiques

El comandament route permet afegir rutes estàtiques als servidors Ubuntu. I té la
següent sintaxi:

route add -net xarxa/màscara gw gateway dev if

Exemple:

route add -net 192.168.40.0/24 gw 192.168.30.1 dev enp2s0

Rutes persistents

Per a crear rutes persistents cal editar l'arxiu /etc/network/interfaces i afegir al

final el comandament up seguit del comandament route desitjat:

up route add -net 192.168.40.0/24 gw 192.168.30.1 dev enp2s0

Activitat: Encaminament entre xarxes

Configura les taules d'encaminament del servidor Ubuntu de forma que els equips de la
xarxa interna puguen comunicar-se amb els equips de la xarxa interna d'un company.

Entregable

1. Captura d'un ping entre dos equips de les xarxes internes.

2. Captura de la taula de rutes del teu Ubuntu Server.
3. Captura d'un traceroute entre els dos equips de les xarxes internes.

Encaminament en un node: cas pràctic

Donat el següent esquema de xarxa:
Supòsit 1: ping del node A 10.0.2.2.
1. Extreu del paquet l'adreça de destinació: 10.0.2.2
2. Extreu de l'adreça de destinació la part de la xarxa: 10.0.2.0
3. Compara la part de la xarxa de destinació amb la seua pròpia adreça de xarxa:
10.0.2.0 - 10.0.2.0
4. Possibilitats
1. Si tots dos coincideixen llavors el destí està en la seva mateixa LAN i
envia el paquet directament al destinatari.
2. Si no coincideixen envia el paquet al seu encaminador per defecte, el
qual s'encarrega d'enviar el paquet cap al seu destí.

7.2. Tallafocs (firewall)

El tallafocs (firewall) és un mecanisme, ja siga de programari o maquinari, per a la protecció de xarxes. Un
tallafocs actua com una barrera o mur de protecció entre dues xarxes, normalment un privada i altra
pública i insegura com pot ser internet.

La ubicació habitual d’un tallafocs és el punt de connexió de la xarxa interna de l’organització amb la
xarxa exterior que, normalment, és Internet. Val a dir que, tal com mostra la imatge inferior, és freqüent
connectar al tallafocs una tercera xarxa, anomenada zona desmilitaritzada (DMZ, demilitarized zone), en
la qual s’ubiquen els servidors de l’organització que han de romandre accessibles des de la xarxa exterior.

Per norma general un tallafocs conté els següents elements:

 Filtres: elements de maquinari o programari que s’encarreguen d'analitzar els paquets i decidir si
acceptar-los o rebutjar-los.
 Node bastió: el dispositiu intermediari situat entre les dues xarxes i que és el que està exposat a
atacs des de l'exterior.

Els objectius del servei de tallafocs són:

 Garantir que no es podrà accedir als recursos interns des de l'exterior sense permís (arxius
compartits, impressores de xarxa, etc.)
 Filtrar els paquets d'entrada i eixida, permetent o denegant l'accés segons l'origen o el destí, tant
en el que respecta a les adreces IP com als ports.
 Utilitzar ferramentes de software per a dur un control sobre el trànsit de xarxa.
Xarxa desmilitaritzada (CC BY-SA)

Un tallafoc disposa de tres tipus direccions: IN, OUT i FORWARD

Firewall: direccions

Llicència: CC BY-SA

Un tallafocs es pot configurar de dues formes: permissiu o restrictiu.

En cas de ser permissiu deixa entrar, eixir i passar tot el trànsit. I l'administrador
s'encarregarà de restringir allò que estimi oportú mitjançant una llista negra (blacklist).
El tallafocs restrictiu, en canvi, no deixa entrar, eixir ni passar res i és l'administrador
qui permeti (obrirà) allò que cregui convenient (whitelist).

No obstant això, també es pot optar per solucions mixtes on algunes direccions estiguin
restringides i altres permeses.

Situació: configurar un tallafocs restrictiu

El nucli Linux inclou el subsistema Netfilter, que és usat per manipular o decidir el destí
del trànsit de xarxa entre o mitjançant la seva xarxa. Totes les solucions tallafocs Linux
modernes utilitzen aquest sistema per al filtrat de paquets.
L'eina de configuració predeterminada del tallafoc per a Ubuntu és ufw. Desenvolupat
per facilitar la configuració de tallafocs de iptables, ufw proporciona una forma fàcil
d'usar per crear un firewall basat en host d'IPv4 o IPv6.

Per defecte el tallafocs està desactivat, cal activar-lo amb el comandament:

$sudo ufw enable

Per a establir la configuració per defecte cal usar:

$ sudo ufw default [deny|allow] [incoming|outgoing|routed]

Per a obrir un port concret, per exemple el 22.

$ sudo ufw allow 22

Per a obrir un port concret en un protocol determinat:

$ sudo ufw allow 22/tcp

Per a obrir un port en un protocol determinat i una direcció concreta out cap a l'exterior.

$ sudo ufw allow out 22

Més informació en Tallafocs en Ubuntu Server Guide i UFW ajuda de la comunitat

Ubuntu.

Pràctica 2: Instal·lació i configuració d'un tallafocs

restrictiu
Objectius
L'objectiu de la pràctica següent és aprendre a configurar un tallafocs de forma que es
puguin establir polítiques d’accés i es permeti accedir a determinats serveis.

Recursos
Disposar d'un equip o màquina virtual amb sistema operatiu Ubuntu i amb connexió a
internet.

Enunciat
 Cal que configures el tallafocs de forma restrictiva, excepte per a
l'encaminament que estarà permès.
 A més a més el tallafocs haurà de permetre fer ping cap a l'exterior i consultes
DNS.
 També permetrà l'accés a webmin.
Entregable

1. Fes una memòria de la pràctica explicant els passos realitzats, la configuració

final i la comprovació del funcionament de tot el que demana l'enunciat.
2. Inclou a la memòria l'execució i les diferències dels tres comandaments: ufw
status, ufw status verbose, ufw status numbered
3. Inclou també totes les dificultats que has trobat així com la seua resolució.

7.3. Traducció d'adreces de xarxa (NAT)

La traducció d'adreces de xarxa (Network Address Translation, NAT) és el procés pel
qual es modifiquen la informació sobre adreces a la capçalera del paquet IPv4 mentre
està en trànsit per un dispositiu d'encaminament.

L'ús de NAT és molt habitual en escenaris on dispositius amb una adreça IP privada
(d'una LAN per exemple) volen accedir a una xarxa en adreces IP públiques, com
Internet. Per evitar l'ambigüitat en la gestió dels paquets de tornada, un NAT d'un-a-
molts ha de modificar informació de més alt nivell com els ports TCP/UDP a les
comunicacions sortint, i ha de mantenir una taula de traducció perquè els paquets de
tornada puguin traduir-se correctament. La RFC 2663 utilitza el terme NAPT (network
address and port translation, traducció d'adreça de xarxa i de port) per a aquest tipus de
NAT. D'altres vegades també s'anomena PAT (port address translation),
IP masquerading, NAT Overload i many-to-one NAT. Com que aquest és el tipus de
NAT més corrent, també se sol anomenar simplement NAT.

Com s'ha dit, aquest mètode permet la comunicació a través del router només quan la
conversa s'origina dins de la xarxa "dissimulada", perquè això inicialitza les taules de
traducció. Per exemple, un navegador web dins de la xarxa dissimulada pot navegar per
un web que estigui a fora, però un navegador de fora no pot navegar per un web que
estigui a la xarxa dissimulada. Això no obstant, la majoria dels dispositius NAT actuals
permeten a l'administrador de xarxa que preconfigure la taula amb algunes traduccions
permanents. Aquesta funcionalitat es coneix normalment com a "NAT estàtic" o port
forwarding i permet que el trànsit originat a la xarxa "exterior" arribi a ordinadors
concrets dins de la xarxa dissimulada.

Des de mitjans dels anys 1990, el NAT ha estat una eina molt popular per alleujar els
problemes provocats per l'esgotament de l'espai d'adreces IPv4. S'ha convertit en una
funció estàndard i indispensable en tots els routers per a connexions domèstiques i
d'oficina petita. La majoria dels sistemes que utilitzen NAT ho fan per permetre que
múltiples ordinadors d'una xarxa privada accedeixin a la Internet amb una sola adreça IP
pública.
Emmascarament IP en Ubuntu Server 16.04
L'emmascarament IP és el tipus de NAT més popular i és senzill de configurar usant
regles de l'ufw.

Per a fer-ho cal editar algun dels arxius que es troben en la carpeta /etc/ufw/*.rules.

Les regles es divideixen en dos fitxers diferents, regles que s'han d'executar abans de les
regles de línia d'ordres ufw, i les regles que s'executen després de les regles de la línia
d'ordres ufw.

En primer lloc, el reenviament de paquets ha d'estar habilitat.

Ara afegiu regles al fitxer /etc/ufw/before.rules. Les regles predeterminades només

configuren la taula filter, i per permetre que la configuració de la taula nat s'hagi de
configurar. Afegiu el següent text a la part superior del fitxer just després de
l'encapçalament:

# nat table rules

*nat :POSTROUTING ACCEPT [0:0]

# Forward traffic from eth1 through eth0.

-A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADE

# don't delete the 'COMMIT' line or these nat table rules won't be processed
COMMIT

Els comentaris no són estrictament necessaris, però es considera bona pràctica

documentar la vostra configuració. A més, quan modifiqueu algun dels fitxers de regles
a /etc/ufw, assegureu-vos que aquestes línies siguin l'última línia de cada taula
modificada:

# don't delete the 'COMMIT' line or these nat table rules won't be
processed
COMMIT

Per a cada taula es requereix una declaració COMMIT corresponent. En aquests

exemples només es mostren les taules nat i filter.

A l'exemple anterior substituïu eth0, eth1 i 192.168.0.0/24 amb les interfícies

apropiades i el rang d'IP per a la vostra xarxa.

Finalment, desactiva i torna a habilitar ufw per aplicar els canvis:

sudo ufw disable && sudo ufw enable

Cas pràctic: taules d'enrutament i NAT
Com es pot observar en l'esquema disposem d'un dispositiu que pot realitzar NAT (R2).
Crea les taules de rutes de R1 i R2 i les regles NAT que cregues convenients perquè els
equips de la xarxa 192.168.2.0/24 puguen accedir a internet sense problemes.

Redirecció de ports en Ubuntu 16.04

La redirecció de ports (port forwarding) és l'acció de redirigir un port de xarxa d'un
node de xarxa a un altre. Aquesta tècnica pot permetre que un usuari extern tingui accés
a un port en una adreça IP privada (dins d'una LAN) des de l'exterior via un
encaminador amb NAT activat.

La redirecció de ports permet que ordinadors remots (per exemple, màquines públiques
a Internet) es connecten a un ordinador en concret dins d'una LAN privada.

Per exemple, la redirecció del port 3389 a l'encaminador a la màquina d'un altre usuari
permet l'accés remot.

Les màquines amb Linux moderns aconsegueixen això afegint regles d'iptables a la
taula nat: amb la destinació DNAT (destination NAT) a la cadena de PREROUTING o
amb la destinació SNAT (source NAT) en la cadena de POSTROUTING.

Suposant que disposem d'un servei web a la xarxa privada interna, concretament a
l'equip 192.168.0.2 i que volem que siga accessible des de l'exterior mitjançant NAT i
l'adreça pública de l'encaminador és 214.15.11.12.

# nat table rules

*nat
:PREROUTING ACCEPT [0:0]

# Forward traffic from eth0 port 80 to 192.168.0.2.

-A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to-destination
192.168.0.2:80
# don't delete the 'COMMIT' line or these nat table rules won't be processed
COMMIT

Amb la regla anterior les peticions a l'encaminador al port TCP/80 seran adreçades a
l'adreça IP 192.168.0.2 al mateix port.