NAT-FW Respostes (2013)

Examen Español
Universidad Universidad Politécnica de Cataluña (UPC)
Grado Ingeniería Telemática - 3º curso
Asignatura TCGI
Año del apunte 2013
Páginas 3
Fecha de subida 01/04/2016
Descargas 9
Subido por

Vista previa del texto

1. Cuál de las siguientes afirmaciones sobre el mecanismo de NAT es correcta? (a) Con un sólo comando SNAT no podemos habilitar que se puedan realizar peticiones a diferentes servicios desde una red privada hacia la red pública.
(b) Cuando se establece una conexión TCP a través de un router que está realizando SNAT, éste puede tener que cambiar el puerto destino de algunos paquetes.
(c) Cuando se hace SNAT en un router, las comunicaciones de ida y de vuelta deben pasar por ese router, pero esto no es estrictamente necesario para DNAT.
(d) Ninguna de las otras es correcta 3. En un router configuramos el siguiente comando: iptables -A FORWARD -p icmp -s 192.168.0.0/24 -j DROP Entonces, cuál de las siguientes afirmaciones es incorrecta? (a) Las petiones realizadas al DNS no se verán afectadas por dicho filtro.
(b) Los paquetes icmp provenientes de la dirección 192.168.0.3 que pasen por dicho router no se filtrarán si antes cambiamos la dirección origen mediante SNAT.
(c) Dicho filtro no afecta a los pings con destino la dirección del router.
(d) Alguna de las otras es incorrecta.
5. Teniendo en cuenta el escenario de la figura 82 , en r2 configuramos el siguiente comando: iptables –A FORWARD –p icmp –s 192.168.1.0/24 –j DROP , Cual correcta? (a)Los paquetes icmp provenientes de h1 que pasen por dicho router no se flitraran si antes cambiamos la direccion origen mediante SNAT (b)Las peticiones realizadas al DNS desde Net2 se veran afectadas por dicho filtro (c)Ninguna de las otras es correcta (d)Dicho filtro no afecta a los pings con destino las direcciones del router 7. De acuerdo con la topología de la figura, suponga que configuramos un túnel IPIP entre r1 y r3. Los paquetes tunelados pasan por una red que tiene una MTU más restrictiva de valor 996 bytes. En h11 ejecutamos el comando nc -l -q 0 -p 12345 </etc/services, mientras que en h33 ejecutamos nc 192.168.0.11 12345, siendo 192.168.0.11 la dirección IP de h11. Si deseamos evitar que los paquetes se fragmenten en camino, qué comando deberá configurarse en r1: (a) iptables -t mangle -A FORWARD -o eth4 -p tcp _tcp-_ags ALL SYN,ACK -j TCPMSS _set-mss 936 (b) iptables -t mangle -A FORWARD -i eth4 -p tcp _tcp-_ags ALL SYN,ACK -j TCPMSS _set-mss 956 (c) iptables -t mangle -A FORWARD -o eth4 -p tcp _tcp-_ags ALL SYN -j TCPMSS _set-mss 936 (d) iptables -t mangle -A FORWARD -i eth4 -p tcp _tcp-_ags ALL SYN -j TCPMSS _set-mss 956 9. Cual de las siguientes afirmaciones sobre el mecanismo de NAT es incorrecta? (a) Se permite hacer DNAT en OUTPUT dado que los paquetes generados en el propio router no pueden pasar por PREROUTING (b)Con un único comando SNAT podemos cambiar tanto la dirección IP como el puerto origen (c)Cuando se hace SNAT en un router, las comunicaciones de ida y vuelta deben pasar por ese mismo router (d)Alguna de las otras es incorrecta 11. Disponemos de la misma configuracion que en laboratorio, que tambien se muestra en la figura. En Rbcn configuramos (solamente) los siguientes comandos sequencialmente: Iptables –t nat –A PREROUTING –i eth2 –d 10.0.0.2.2 –p tcp—dport 80 2. En el escenario de la Figura1 se ha ejeuctado la configuración de ConfFwnatAAA (el routing funciona exactamente igual que en el escenario de la practica de ip-tables). Si desde el host1 accedemos a la página web alojada en www con el siguiente comando: lynx 172.16.1.2, entonces, ¿cúal de las siguientes afirmaciones es correcta? (a) Ninguna de las otras es correcta (b) El primer segmento TCP del 3.way handshake (SYN) se filtra en el FORWARD de Rint (c) El segundo segmento TCP del 3-way handshake (SYN-ACK) se filtra en el FORWARD de Rint (d) Se visualizan los mismos contenidos que si hubiéramos ejecurado el comando lynx 10.0.2.2 4.En el escenario de la Figura1 se ha ejeuctado la configuración de ConfFwnatAAA (el routing funciona exactamente igual que en el escenario de la practica de ip-tables). Para acceder mediante ssh a host1 desde host3 se requiere de la ejecución de varios comandos.
¿Cuál de las siguientes afirmaciones es FALSA? (a) Es necesario introducir cambios en FORWARD de Rint (b) Es necesario modificar una regla DNAT existente en Rbcn, pero ello implicaría no poder acceder al servicio web alojado en el servidor www.
(c) Alguna de las otras es falsa (d) Es necesario añadir una regla DNAT en PREROOUTING de Rbcn 6. En el escenario de la Figura1 se ha ejeuctado la configuración de ConfFwnatAAA (el routing funciona exactamente igual que en el escenario de la practica de ip-tables). Si desde el host1 ejecutamos el siguiente comando: lynx 10.0.2.2, entonces, cuál es correcta? (a) El segundo segmento TCP del 3-way handshake (SYM-ACK) se fultra en FORWARD de Rint (b) Si no hubiera ejecutado la ultima regla de Rbcn, la conexión TCP se cerraría mediante el envio de un mensaje RST.
(c) El primer segmento TCP del 3-way handshake (SYN) se filtra en FORWARD de Rint (d) Visualizamod la página web hospedada en Rbcn, asumiento que ésta existe 8. En un router configuramos el siguiente comando: iptables -t nat -A OUTPUT -i eth0 -d 147.83.2.135 –p tcp -dport 80 -j DNAT -to 192.168.0.3:8080 Entonces, cuál de las siguientes afirmaciones es correcta? (a) Alguna de las opciones del comando no tiene sentido.
(b) DNAT no puede utilizarse para traducir direcciones de públicas a privadas, únicamente de privadas a públicas.
(c) No es posible hacer DNAT en la cadena OUTPUT.
(d) No es posible cambiar dirección y puerto simultáneamente con la misma regla, se requieren al menos dos reglas.
10. Teniendo en cuenta el escenario de la figura 82, en r1 configuramos el siguiente comando: iptables –t nat –A PREROUTING –i eth2 –d 10.0.2.2 –p tcp –dport 80 –j DNAT –-to 172.16.1.2:8080 Entonces, cual de las siguientes afirmaciones es correcta? (a) No es posible cambiar la direccion y puerto simultaneamente con la misma regla, se requieren al menos dos reglas.
(b)DNAT no puede utilizarse para traducir direcciones de publicas a privadas, unicamente de privadas a públicas.
(c)Esta regla no afecta a las peticiones realizadas al DNS (d)Alguna de las opciones del comando no tiene sentido 12. Cuando se utilizan direcciones privadas en una red interna (intranet) Cual es incorrecta? (a) El router de salida utiliza SNAT para que los paquetes puedan volver a la intranet (b) El router de salida utiliza DNAT para que usuarios de –j DNAT –tp 172.16.1.2. iptables –A FORWARD –d 10.0.2.2 –p tcp –dport 80 –j DROP. Quina es incorrecta? (a) Si invertimos el orden de ejecucion de los comandos, el efecto sobre los paquetes es el mismo.
(b) El segundo comando no filtrará ningún paquete.
(c) Las peticiones HTTP realizadas al servidor www desde internet seran filtrados en Rbcn (d) Alguna de las anteriores es incorrecta 13. Misma configuración que en el laboratorio. En Rbcn configuramos (solamente) los siguientes comandos secuencialmente.iptables –t nat –A POSTROUTING –o eth2 –j SNAT –to 10.0.2.2.
iptables –A INPUT –p icmp –j DROP. Cual es correcta? (a) Es posible ejecutar correctamente un ping desde la maquina www a la maquina test (b) Es posible ejecutar correctamente un ping desde la maquina test a la maquina www (c)Si envia un ping desde la maquina www a la maquina test, el icmp echo-request llega correctamente pero el ICMP Echo-Reply se filtra en Rbcn dado que la direccion destino es 10.0.2.2 (d) Ninguna de las anteriores es correcta.
15. De acuerdo con la topología de la figura, suponga que configuramos un túnel IPIP entre r1 y r3. Los paquetes tunelados pasan por una red que tiene una MTU más restrictiva de valor 996 bytes. En h33/h2 ejecutamos el comando nc -l -q 0 -p 12345 </etc/services, mientras que en h1 ejecutamos nc 192.168.0.11 12345. Si deseamos evitar que los paquetes se fragmenten en camino, qué comando deberá configurarse en r1/r3: (a) iptables -t mangle -A FORWARD -o eth1 -p tcp _-tcpfags ALL SYN,ACK -j TCPMSS _set-mss 936 (b) iptables -t mangle -A FORWARD -i eth1 -p tcp _-tcp_fags ALL SYN,ACK -j TCPMSS _set-mss 956 (c) iptables -t mangle -A FORWARD -o eth2 -p tcp _tcp-_ags ALL SYN -j TCPMSS _set-mss 936 (d) iptables -t mangle -A FORWARD -i eth1 -p tcp _tcp-_ags ALL SYN -j TCPMSS _set-mss 956 17. En un encapsulador se introduce el siguiente comando: ip tunnel add pepito mode ipip local 10.0.1.1 remote 10.0.2.1 ttl 0 dev eth0 nopmtudistic. Entonces, cuál de las siguientes afirmaciones es incorrecta? (a) Cuando el encapsulator envíe paquetes, la dirección IP origen en la outer header será 10.0.1.1 
 (b) La opción nopmtudisc deshabilita el mecanismo PMTU Path Discovery en el túnel.
(c) La opción ttl 0 implica que el campo TTL de la outer header se hereda de la inner header.
(d) El comando es incorrecto, ya que pepito no es ninguna opción válida para con�gurar un túnel.
internet puedan acceder a la intranet, por ejemplo a un servidor web (c) SNAT y DNAT no pueden utilizarse en un router para alterar los mismos paquetes (d) Alguna de las anteriores es incorrecta 14. En el escenario de la Figura1 se ha ejeuctado la configuración de ConfFwnatAAA (el routing funciona exactamente igual que en el escenario de la practica de ip-tables). Si desde host1 realizamos un ping a Rbcn con el siguiente comando, ping 172.16.1.1 entonces, ¿cuál de las siguientes afirmacines es correcta? (a) La dirección destino del mensaje ICMP echo-request cambia en PREROUTING de Rbcn.
(b) El ping funciona sin problemas (c) El mensaje ICMP echo-request se filtra en FORWARD de Rint (d) Ninguna de las otras es correcta 16. Utilizamos el escenario que se muestra en la Figura 82, en cual hemos configurado un túnel IPIP entre r1 y r3. En Net0 hemos configurado un valor de MTU0996 bytes. Si queremos mandar un ping de tamaño máximo pero sin ser fragmentado desde h2 (192.168.2.2) al Internal server (172.16.1.2), ¿qué valor del parámetro –s del ping debemos utilizar? (a) 948 (b) 976 (c) 956 (d) 968 18. Respecto a los túneles, 3⁄4cuál de las siguientes a�rmaciones es incorrecta? (a) IPIP introduce una cabecera IP adicional (outer header).
(b) GRE introduce una cabecera IP adicional (outer header) y una cabecera GRE de tamaño variable. 
 (c) IPsec puede proporcionar protección criptográ�ca a la información transportada. 
 (d) Alguna de las otras es incorrecta 19. En un encapsulator se introduce el siguiente comando: 20. Disponemos de la topología de la figura 82. En la mismo, ip tunnel add pepito mode ipip local 10.0.1.1 remote 10.0.2.1 ttl 0 dev eth0 nopmtudisc. Entonces, 3⁄4cuál de las siguientes a�rmaciones es correcta? disponemos de un túnel GRE configurado entre r1 y r3 con nombre “tunne10”. Entonces, cual de las siguientes comandos (entre otros) es necesario configurar en r1 para que el trafico multicast que proviene de Net1 y del grupo 232.43.211.234 sea inyectado en el túnel GRE.
(a)smcroute –d tunnel10 0.0.0.0 232.43.211.234 eth1 (b)smcroute –j eth1 232.43.211.234 0.0.0.0 tunne10 (c) smcroute –a eth1 0.0.0.0 232.43.211.234 (d) smcroute –a eth2 232.43.211.234 0.0.0.0 tunne10 (a) Cuando el encapsulator envíe paquetes, la dirección IP origen en la outer header será 10.0.2.1 
 (b) La opción nopmtudisc habilita el mecanismo PMTU Path Discovery en el túnel. 
 (c) La opción ttl 0 implica que el campo TTL de la outer header se hereda de la inner header. 
 (d) El comando es incorrecto, ya que pepito no es ninguna opción válida para con�gurar un túnel. 
 21. Respecto a los tuneles, ¿cúal de las siguientes afirmaciones es incorrecta? (a) IPIP introduce una cabezera IP adicional (outer header) (b) GRE introduce una cabezera IP adicional (outer header) y una cabezera GRE de tamaño variable (c) IPsec puede proporcionar protección criptográfica a la información transportada (d) Alguna de las otras es incorrecta.
23. Conftunnel AAA.Atendiendo a los valores de MTU que se indican, si ejecutamos el comando host1 ping –c 1 –s 940 192.168.2.21, es cierto que: (a) en net0 visualizaremos dos paquetes IP de 968 bytes uno que corresponde al ICMP echo request y otro al reply (b)en net4 visualizaremos dos paquetes IP de 988 bytes uno que core… (c) en net 5 visualizaremos 4 paquetes 988 bytes que corresponden 2 a request y 2 a reply (d) net 1 2 paquetes IP 968 que pertenecen a echo request y a ICMP grafmentation needed 22. confTunnelAAA mtu 1500 Net0 996. Atendiendo a los valores de MTU que se indican, cual es la MSS que deberían informar cliente y/o servidor durante el 3-way handshake TCP para evitar fragmentación en camino en dicho escenario (a)Ninguna de las otras es correcta (b) 956 entre Rbvn y R ter (c)936 entre host1 y www (d )1460 entre host3 y host2 24. En el escenario de la Figura 1, se ha ejecutado la configuración de ConfTunnelAAA (el routing funciona exacarmente igual que en el escenario de la practiva de tuneles y la MTU de todas las redes es 1500 Bytes, excepto en Net0 que es 996). Queremos utilizar netcat para que host1 (actuando como cliente) inyecte un dichero grande a host3 (actuando como servidor) . Queremos cambiar la advertised MSS a un valor adecuado, de manera que los paquetes tunelados no requieran de fragmentación en camino. Atendiendo a los valores de MTU que se indican, ¿qué comando se deberá ejecutar para cambiar la MSS (Maximun Segment Size) y así evitar la fragmentación en camino? (a) En host3 ip route change 192.168.1.0/24 via 192.168.3.1 advmss 936.
(b) En Rter iptables –t mangle – A FORWARD –o tunnel10 – p tcp –tcp-flags ALL SYNB – j TCPMSS –set-mss 936 (c) En Rbcn iptables –t mangle – A FORWARD –o tunnel10 –p tcp –tcp-flags ALL SYNB – j TCPMSS –set-mss 936 (d) En host1 ip route change 192.168.3.0/24 via 192.168.1.1 advmss 936.
...