*奇想西卡*

雖然說我覺得這樣考我一定不會，

因為我弄任何東西都直接線上找文件來之後照弄就好了， anyway 自己能力還是有所不足吧，

知其然而不知其所以然，

作業名稱： HW1 DHCP+NAT+Firewall
Demo時間： 2006/04/14 13:30~17:00 18:30~20:30
作業繳交： 本作業無須繳交紙本或檔案，直接根據 Demo 情況打分數
           但請將相關設定檔及程式放在自己能取得的地方
內    容： http://www.csie.nctu.edu.tw/~chwong/course/NA2006/hw1-demo.txt
內容有更新，加上了 Server1 所需的 r o o t  p a s s w d

1. Server1 OS 不限定用 Freebsd (當然不可以是 Windows, 或者現成的 NAT Box)
   當場助教會準備 Linux live CD
   應該可以跑 iptables，不過 ipchains 就不是很確定了
   如果有特殊需求的請 follow 這篇文章，或是寫信與助教討論
2. 修課人數 49, 假設有 90% 的人會來 demo
   保守估計每個人需要 15 分鐘, 負責 demo 的助教 2 人
   則 49 * 0.9 * 15 / 2 = 330.75 (分鐘) = 5.5 小時
   當天 demo 時間也"正好"是 5.5 小時
   請事先準備好，並提早到場
   逾時助教有權不等你，原則上也不接受補 demo
3. 未在 4/13 以前跟助教改約時間的不接受改期 demo
   來信請寫清楚：學號、姓名、理由、兩個以上希望的時間
   理由合不合理請捫心自問一下，謝謝
4. 4/12(三) 晚上上課時間助教會到場
   同學可以把握時間問作業相關的問題

  作業名稱： HW1 DHCP+NAT+FirewallDemo時間： 2006/04/14 13:30~17:00 18:30~20:30作業繳交：
本作業無須繳交紙本或檔案，直接根據 Demo 情況打分數
           但請將相關設定檔及程式放在自己能取得的地方

  0 Demo 環境
    本次 Demo 將利用 VMPlayer 軟體模擬多台機器，在同一台機器上進行
  Demo 環境將由助教設置，但同學們可以先在自己的機器上試驗過

  0.1 安裝 VMPlayer
      安裝由 VMWare 公司推出的 VMPlayer 軟體
      網頁： http://www.vmware.com/products/player/

  0.2 安裝 Server1
      下載 http://www.csie.nctu.edu.tw/~chwong/course/NA2006/Server1.zip 並解壓縮

      將 http://www.csie.nctu.edu.tw/~chwong/course/NA2006/Server1-vmdk-0411.exe
      下載後執行，此為自解壓縮程式，內容是已經安裝好的 FreeBSD 6.1-PRERELEASE
      直接解壓縮到上一個壓縮檔解出來的目錄中即可

      使用 VMPlayer 即可將 Server1 啟動
      補充：上面提供的 Server1 root password 為 cscs，已設定可用 ssh 登入 root

  0.3 安裝 Server2/PC1/PC2
      將 Server1 複製數份即可

      Demo 時為求方便起見，Server2 會是 Server1 的複製
      PC1/PC2 則是另外已經安裝好的 WindowsXP

  0.4 網路設置
      VMWare 提供一套虛擬網路的工具 VMnet，在安裝 VMPlayer 時已經同時安裝進去
      說明請見： http://www.vmware.com/support/ws55/doc/ws_net.html
      設定 VMnet 的執行檔在安裝目錄的 vmnetcfg.exe (但本次 demo 不需更動)

      在此我們將 Server1 的第一張網路卡設為 bridge mode
                           第二張網路卡設為 VMnet2
                 Server2, PC1, PC2 的網路卡都設為 VMnet2

  0.5 補充資料
      如果想要產生自己的 VM
      可以參考 http://petruska.stardock.net/software/vmware/
               http://www.virtualization.info/2005/10/create-vmware-vmx-configuration-fi
les.html
      有些 3rd-party 的工具可以用

  1 Demo 流程
  1.1 DHCP: (3%)
        請先將 DHCP Server 的 default-lease-time 設到 30 sec, 方便 demo
        ● Server2 取得一固定 private IP
        ● PC1 取得一隨機的 private IP
        ● PC2 無法自動取得 IP
        Quest:
           修改設定，讓 PC1 無法取得IP
           修改設定，讓 PC2 取得一固定 IP
        恢復原本的設定

  1.2 NAT: (3%)
        ● PC1 可以透過 Server1 的 NAT 連外，source IP 要是 IP1
        ● 從外界透過 IP1 port:10022 連到 Server2 port:22 (ssh)
        ● 從 Server2 對外連線，看 source IP 是否是 IP2
           從外界用 ssh 連接 IP2 port:22 將連到 Server2
        Quest:
           修改 NAT 設定，讓 Server2 連結 140.113.235.0/24 時用 IP1 連過去

  1.3 Firewall: (4%)
        ● 從 Subnet1(209 subnet) 可以建TCP連線到 IP1 port:10022，但 badhost(ccbsd2.csie
 & linux2.csie) 除外
        ● 從 Subnet2(235 subnet) 連線到 IP1 port:10022 會立刻出現 Connection refused (
表示收到 TCP RST)
        ● 從 other subnet 連線到 IP1 port:10022 會等到 timeout
        ● 從任何 subnet 連線到 IP2 的都要一切正常 (因為是 binat 給 Server2, 所以要由 Se
rver2 決定怎麼處理)
        ● WAN ping 不到 IP1
           LAN 可以 ping any IP
        Quest:
           新增/減少 badhost
           新增/減少 Subnet1/2 內含的 IP Domain

  1.4 加分題1: (1%)
        ● 從 Subnet1 telnet 到 IP1 port:10023，被 Redirect 到 到 bbs.wretch.cc port:23
              Subnet2 telnet 到 IP1 port:10023，被 Redirect 到 到 bbs.ptt.cc port:23

  1.5 加分題2: (4%)
        將 Server2 的 binat 設定取消
        ● 測試 Server2/PC1 可以透過 NAT 連線出去
        ● 將 PC2 設定一個與 PC1 相同 private domain 的 IP，以及對應的 netmask/router/dn
s
           測試 PC2 是否可以透過 NAT 連線出去
        ● 改 DHCP 設定讓 PC2 可以取得 IP，PC2設為自動取得IP
           看會不會動態更新 firewall rule 讓 PC2 可以連出去
        ● 改 DHCP 設定，讓 PC1 無法取得 IP
           看是否動態更新 firewall 讓原本 PC1 取到的IP連不出去
        ● 解釋運作原理