RHCE-seeria: staatilise võrgumarsruudi seadistamine ja testimine - 1. osa
RHCE (Red Hat Certified Engineer) on Red Hati ettevõtte sertifikaat, mis annab avatud lähtekoodiga operatsioonisüsteemi ja tarkvara ettevõtte kogukonnale. Samuti pakub see ettevõtetele koolitus-, tugi- ja konsultatsiooniteenuseid.
See RHCE (Red Hat Certified Engineer) on soorituspõhine eksam (koodnimi EX300), kellel on täiendavad oskused, teadmised ja võimed, mida nõutakse Red Hat Enterprise Linuxi (RHEL) süsteemide eest vastutavalt kõrgemalt süsteemiadministraatorilt.
Tähtis: RHCE-sertifikaadi saamiseks on vaja Red Hat'i sertifitseeritud süsteemiadministraatori (RHCSA) sertifikaati.
Järgnevalt on toodud Red Hat Enterprise Linux 7 eksami versioonil põhinevad eksami eesmärgid, mida käsitletakse selles RHCE seerias:
Tasude vaatamiseks ja oma riigis eksamile registreerimiseks kontrollige RHCE sertifikaadi lehte.
RHCE-seeria selles ja järgmises osas tutvustame põhilisi, kuid tüüpilisi juhtumeid, kus staatilise marsruutimise, pakettide filtreerimise ja võrguaadressi tõlkimise põhimõtted tulevad mängu.
Pange tähele, et me ei käsitle neid põhjalikult, vaid korrastame selle sisu nii, et sellest on abi esimeste sammude tegemisel ja sealt üles ehitamisel.
Staatiline marsruutimine Red Hat Enterprise Linux 7-s
Kaasaegse võrguühenduse üks imesid on nende seadmete tohutu kättesaadavus, mis võimaldavad ühendada arvutirühmi, olgu siis suhteliselt väikeses koguses ja piiratud ühe toa või mitme masinaga samas hoones, linnas, riigis või kogu mandritel.
Kuid selleks, et seda igas olukorras tõhusalt saavutada, tuleb võrgupaketid suunata või teisisõnu tuleb kuidagi kontrollida nende kulgevat teed lähtekohast sihtkohta.
Staatiline marsruutimine on protsess, millega määratakse marsruut vaikeväärtusega muude võrgupakettide jaoks, mille pakub vaikelüüsina tuntud võrguseade. Kui staatilise marsruutimise kaudu pole teisiti määratud, suunatakse võrgupaketid vaikelüüsile; staatilise marsruutimise korral määratakse muud teed kindlaksmääratud kriteeriumide alusel, näiteks paketi sihtkoht.
Määratleme selle õpetuse jaoks järgmine stsenaarium. Meil on ruuteriga nr 1 [192.168.0.1] ühenduv ruut Red Hat Enterprise Linux 7, et pääseda juurde Internetile ja masinatele 192.168.0.0/24.
Teisel ruuteril (ruuter nr 2) on kaks võrguliidese kaarti: Internetile pääsemiseks ning RHEL 7 kasti ja teiste samas võrgus olevate masinatega suhtlemiseks on enp0s3 ühendatud ka ruuteriga nr 1, samas kui teist (enp0s8) kasutatakse anda juurdepääs võrgule 10.0.0.0/24, kus asuvad siseteenused, näiteks veebi- ja/või andmebaasiserver.
Seda stsenaariumi illustreerib järgmine diagramm:
Selles artiklis keskendume eranditult marsruutimistabeli seadistamisele meie kasti RHEL 7, et veenduda, kas see pääseb ruuterile nr 1 ja sisevõrgule ruuteri nr 2 kaudu.
RHEL 7-s kasutate seadete ja marsruutimise seadistamiseks ja kuvamiseks käsurea abil ip-käsku. Need muudatused võivad töötavas süsteemis kohe jõustuda, kuid kuna need ei ole taaskäivitamisel püsivad, kasutame konfiguratsiooni jäädavaks salvestamiseks ifcfg-enp0sX ja route-enp0sX-faile/etc/sysconfig/network-scripts.
Alustuseks printime oma praeguse marsruutimistabeli:
# ip route show
Ülaltoodud väljundist näeme järgmisi fakte:
- Vaikelüüsi IP-aadress on 192.168.0.1 ja sellele pääseb juurde võrgu enp0s3 kaudu.
- Süsteemi käivitamisel võimaldas see zeroconfi marsruudi numbrile 169.254.0.0/16 (igaks juhuks). Mõne sõnaga, kui masin on määratud hankima IP-aadressi DHCP kaudu, kuid seda mingil põhjusel ei õnnestu, määratakse talle selles võrgus automaatselt aadress. Alumine rida on see, et see marsruut võimaldab meil suhelda ka enp0s3 kaudu teiste masinatega, kellel pole õnnestunud IP-aadressi DHCP-serverilt hankida.
- Viimasena, kuid mitte vähem tähtsana, saame suhelda võrgu 192.168.0.0/24 teiste kastidega enp0s3 kaudu, mille IP-aadress on 192.168.0.18.
Need on tüüpilised ülesanded, mida peate sellises seades täitma. Kui pole täpsustatud teisiti, tuleks ruuteris nr 2 täita järgmised ülesanded:
Veenduge, et kõik võrguvõrgud oleksid õigesti installitud.
# ip link show
Kui üks neist on maas, tooge see üles:
# ip link set dev enp0s8 up
ja määrake sellele 10.0.0.0/24 võrgus IP-aadress:
# ip addr add 10.0.0.17 dev enp0s8
Vabandust! Tegime IP-aadressis vea. Peame eemaldama varem omistatud ja seejärel lisama õige (10.0.0.18):
# ip addr del 10.0.0.17 dev enp0s8 # ip addr add 10.0.0.18 dev enp0s8
Pange tähele, et sihtkohavõrku saate marsruuti lisada ainult lüüsi kaudu, kuhu on juba ise juurdepääs. Sel põhjusel peame enp0s3-le määrama IP-aadressi vahemikus 192.168.0.0/24, et meie kast RHEL 7 saaks sellega suhelda:
# ip addr add 192.168.0.19 dev enp0s3
Lõpuks peame lubama pakettide edastamise:
# echo "1" > /proc/sys/net/ipv4/ip_forward
ja peatage/keelake (lihtsalt esialgu - kuni järgmises artiklis pakettide filtreerimist käsitleme) tulemüür:
# systemctl stop firewalld # systemctl disable firewalld
Tagasi meie kasti RHEL 7 (192.168.0.18) konfigureerime marsruudi 10.0.0.0/24 kuni 192.168.0.19 (enp0s3 ruuteris nr 2):
# ip route add 10.0.0.0/24 via 192.168.0.19
Pärast seda näeb marsruutimistabel välja järgmine:
# ip route show
Samamoodi lisage vastav marsruut masinasse, kuhu proovite 10.0.0.0/24 jõuda:
# ip route add 192.168.0.0/24 via 10.0.0.18
Pingi abil saate testida põhiühendust:
Kastis RHEL 7 käivitage
# ping -c 4 10.0.0.20
kus 10.0.0.20 on veebiserveri IP-aadress võrgus 10.0.0.0/24.
Käivitage veebiserveris (10.0.0.20)
# ping -c 192.168.0.18
kus 192.168.0.18 on, nagu mäletate, meie RHEL 7 masina IP-aadress.
Teise võimalusena võime kasutada tcpdumpi (peate võib-olla installima selle yum installi tcpdumpiga), et kontrollida TCP kaudu kahepoolset suhtlust meie RHEL 7 kasti ja veebiserveri vahel 10.0.0.20.
Selleks alustame logimist esimeses masinas järgmiselt:
# tcpdump -qnnvvv -i enp0s3 host 10.0.0.20
ja sama süsteemi teisest terminalist läheme telnetti veebiserveri porti 80 (eeldades, et Apache kuulab seda porti; vastasel juhul märkige järgmine käsk järgmises käsus):
# telnet 10.0.0.20 80
Tcpdumpi logi peaks välja nägema järgmine:
Kus ühendus on korralikult lähtestatud, nagu saame teada, vaadates kahepoolset sidet meie RHEL 7 kasti (192.168.0.18) ja veebiserveri (10.0.0.20) vahel.
Pidage meeles, et need muudatused kaovad, kui taaskäivitate süsteemi. Kui soovite need püsivaks muuta, peate redigeerima (või looma järgmised failid, kui neid veel pole, samades süsteemides, kus me ülalnimetatud käske sooritasime.
Kuigi see pole meie katseprojekti jaoks tingimata vajalik, peaksite teadma, et/etc/sysconfig/network sisaldab kogu süsteemi hõlmavaid võrguparameetreid. Tüüpiline/etc/sysconfig/network näeb välja järgmine:
# Enable networking on this system? NETWORKING=yes # Hostname. Should match the value in /etc/hostname HOSTNAME=yourhostnamehere # Default gateway GATEWAY=XXX.XXX.XXX.XXX # Device used to connect to default gateway. Replace X with the appropriate number. GATEWAYDEV=enp0sX
Mis puutub konkreetsete muutujate ja väärtuste seadistamisse iga NIC-i jaoks (nagu me tegime ruuteri nr 2 puhul), peate redigeerima faile/etc/sysconfig/network-scripts/ifcfg-enp0s3 ja/etc/sysconfig/network-scripts/ifcfg -enp0s8.
Meie juhtumit järgides
TYPE=Ethernet BOOTPROTO=static IPADDR=192.168.0.19 NETMASK=255.255.255.0 GATEWAY=192.168.0.1 NAME=enp0s3 ONBOOT=yes
ja
TYPE=Ethernet BOOTPROTO=static IPADDR=10.0.0.18 NETMASK=255.255.255.0 GATEWAY=10.0.0.1 NAME=enp0s8 ONBOOT=yes
vastavalt enp0s3 ja enp0s8.
Mis puutub marsruutimisse meie kliendimasinas (192.168.0.18), siis peame muutma/etc/sysconfig/network-scripts/route-enp0s3:
10.0.0.0/24 via 192.168.0.19 dev enp0s3
Nüüd taaskäivitage süsteem ja peaksite seda marsruuti oma tabelis nägema.
Kokkuvõte
Selles artiklis oleme käsitlenud Red Hat Enterprise Linux 7 staatilise marsruutimise põhitõdesid. Kuigi stsenaariumid võivad erineda, illustreerib siin esitatud juhtum selle ülesande täitmiseks vajalikke põhimõtteid ja protseduure. Enne kokkuvõtet soovitan teil tutvuda Linuxi dokumentatsiooniprojekti saidi Linuxi turvalisuse ja optimeerimise jaotise 4. peatükiga, et saada täpsemat teavet siin käsitletud teemade kohta.
Tasuta e-raamat Linuxi turvalisuse ja optimeerimise kohta: häkkimislahendus (v.3.0) - see 800+ e-raamat sisaldab põhjalikku Linuxi turvanõuannete kogumit ning nende ohutut ja hõlpsat kasutamist Linuxipõhiste rakenduste ja teenuste seadistamiseks.
Järgmises artiklis räägime pakettide filtreerimisest ja võrguaadressi tõlkimisest, et võtta kokku RHCE sertifikaadiks vajalike võrgustike loomise põhioskused.
Nagu alati, ootame teid huviga, nii et jätke oma küsimused, kommentaarid ja ettepanekud alloleval vormil.