Adjunto el link del examen:
https://eva.fing.edu.uy/pluginfile.php/25789/mod_folder/content/0/2019/serc20190218%20.pdf?forcedownload=1
Buenas, tengo una duda con el ejercicio mencionado, mi duda es porque en la table de forwarding del equipo web_server1 se pone una entrada a la red privada con ip 192.168.1.0/27, los paquetes que le llegan a web_server1 desde el router 2 no salen con IP de origen 190.1.1.6 en vez de la Ip privada ya que este implementa NAT?
En respuesta a German Moreira Bellini
Re: Examen Febrero 2019 Problema 1.b
Hola, entiendo que la solución es un poco confusa porque el router para cumplir con la condición de salida a Internet debe usar NAT, pero busca cumplir con la restricción de "Estos equipos deben tener conectividad con la red de Servicios." colocando en su tabla la sub red privada de Servicios.
Resumiendo, el router R2 va a implementar NAT cuando llegue un datagrama con destino R2_IP_pub y va a forwardear sin mas cuando le llegue algo para la 192.168.1.0/27.
Notar que desde el web server no se "puede" llegar a la sub_red de desarrollo simplemente porque no tiene ruta en su tabla de fw.
Saludos.
En respuesta a Leonardo Alberro Zimmermann
Re: Examen Febrero 2019 Problema 1.b
Muchas gracias, se entendió.
Saludos
En respuesta a Leonardo Alberro Zimmermann
Re: Examen Febrero 2019 Problema 1.b
de Nicolas Giossa Jaen -
Buenas! Yo tuve la misma duda en este ejercicio.
Por un momento pensé en hacer lo que está en la solución para cumplir con la restricción de que DMZ tenga conectividad con Servicios y no con Desarrollo; pero me quedó la idea de que el router R2, por ser NAT, reemplazaría la IP origen en todos los paquetes originados en Servicios o Desarrollo. Y por lo tanto el web server 1 no sería capaz de diferenciar los paquetes de la LAN Servicios de los de la LAN Desarrollo.
Para que esta solución funcione el router NAT R2 debería reemplazar la IP origen solo en los paquetes cuyo next hop es el router R1, verdad?
Saludos,
Nicolás
Buenas,
Ahora viendo la parte c) del ejercicio, se asume que al forwardear un paquete que viene desde desarrollo hacia el web server 1, el router NAT R2 cambia la IP origen, por lo que mi suposición del comentario anterior no se toma.
Otra duda que me surge al ver la solución a la parte c) (independiente de lo que venimos hablando en el hilo), viendo el penúltimo mensaje que aparece en la tabla (ICMP echo response de WSer1 a R2), ¿por qué el host WSer1 envía el paquete de respuesta a R2 sin antes hacer un ARP request? (asumo que debería desconocer su dirección MAC, ya que es la primera vez que le envía algo)
Gracias!
Saludos,
Nicolás
En respuesta a Nicolas Giossa Jaen
Re: Examen Febrero 2019 Problema 1.b
Hola,
no me quedó claro si tu duda anterior quedó despejada.
En cuanto a la 1.c, cuando WSer1 recibe el ARP request de R2, ya tiene toda la información para actualizar su tabla ARP con la info de R2 ethx, por lo que además de enviar el ARP reply, se guarda la entrada.
Saludos
En respuesta a Leonardo Alberro Zimmermann
Re: Examen Febrero 2019 Problema 1.b
de Nicolas Giossa Jaen -
Hola,
La parte 1.b aún no me queda clara, en un principio supuse que el NAT tendría que hacer algo como lo que menciono en mi primer comentario, pero al ver el 1.c veo que eso no se cumple.
La duda de la 1.c quedó clara.
Gracias!
En respuesta a Nicolas Giossa Jaen
Re: Examen Febrero 2019 Problema 1.b
En que te afectaría el NAT para la restricción?
En respuesta a Leonardo Alberro Zimmermann
Re: Examen Febrero 2019 Problema 1.b
de Nicolas Giossa Jaen -
Lo que no entiendo es lo siguiente: según la solución, la tabla de forwarding del web server 1 tiene el prefijo público 192.168.1.0/27 (asociado a Servicios) en una de sus entradas. Según entiendo, la única forma en que web server 1 podría utilizar esta entrada es para "responder" a un paquete que le llega desde Servicios (ya que en servicios no puede haber servidores, por letra y porque está detrás de un NAT). Por otra parte, como Servicios está detrás de un NAT, si un host de servicios envía un paquete al web server 1, el mismo pasará por el router NAT y su dirección IP origen será cambiada por la dirección pública de salida del router. Según este razonamiento un paquete con el origen 192.168.1.0/27 no podría llegar al web server 1.
Espero se haya entendido y agradezco me aclares si hay algún error en mi razonamiento.
Saludos!
En respuesta a Nicolas Giossa Jaen
Re: Examen Febrero 2019 Problema 1.b
Bien, ahora si.
1) quizá fue una confusión pero por las dudas, el prefijo 192.168.1.0/27 no es público, es de un rango privado.
2) web server 1 podría utilizar esta entrada para responder a algo que le viene de ese prefijo, esto es correcto. También podría utilizarlo para enviar algo a un host de la red de servicios, no tiene por qué ser un servidor. Es mas, la letra dice "Estos equipos deben tener conectividad con la red de Servicios" por lo tanto deberías asegurar que lleguen desde ambos lados.
Cuando alguien de servicios inicie la conexión hacia el server, el NAT del medio va a actuar y va a pasar todo lo que ya sabemos, pero si desde el server se quiere enviar algo, se va a tener que especificar la dir privada como destino (acá usa la entrada de la tabla de fw que mencionas).
3) (pequeña aclaración) no está bien la afirmación "ya que en servicios no puede haber servidores, por letra y porque está detrás de un NAT". SI puede, de hecho en el práctico hablamos de la configuración de "port forwarding" para realizar este tipo de tareas.
Saludos
En respuesta a Leonardo Alberro Zimmermann
Re: Examen Febrero 2019 Problema 1.b
de Nicolas Giossa Jaen -
Hola,
Sí, el punto 1) fue por confusión, quise decir rango privado. El resto de los puntos me quedan claros ahora, gracias!
Saludos,
Nicolás