Vyhledávání na webu

Řada RHCE: Jak nastavit a otestovat statické směrování sítě – část 1

RHCE (Red Hat Certified Engineer) je certifikace od společnosti Red Hat, která poskytuje open source operační systém a software pro podnikovou komunitu, poskytuje také školení, podporu a poradenské služby pro firmy.

Tato RHCE (Red Hat Certified Engineer) je zkouška založená na výkonu (kódové označení EX300), která má další dovednosti, znalosti a schopnosti vyžadováno od senior správce systému odpovědného za systémy Red Hat Enterprise Linux (RHEL).

Důležité: K získání certifikace RHCE je nutná certifikace Red Hat Certified System Administrator (RHCSA).

Níže jsou uvedeny cíle zkoušky založené na verzi zkoušky Red Hat Enterprise Linux 7, která bude pokrývat tato série RHCE:

Chcete-li zobrazit poplatky a zaregistrovat se na zkoušku ve vaší zemi, podívejte se na stránku Certifikace RHCE.

V této 1. části série RHCE a dalších představíme základní, ale typické případy, kdy principy statického směrování, filtrování paketů a překladu síťových adres přicházejí do hry.

Vezměte prosím na vědomí, že se jimi nebudeme zabývat do hloubky, ale spíše uspořádáme tento obsah tak, aby vám pomohl udělat první kroky a dále stavět.

Statické směrování v Red Hat Enterprise Linux 7

Jedním z divů moderních sítí je obrovská dostupnost zařízení, která mohou propojit skupiny počítačů, ať už v relativně malých počtech a omezených na jednu místnost nebo několik počítačů ve stejné budově, městě, zemi nebo napříč kontinenty.

Aby toho však bylo v jakékoli situaci efektivně dosaženo, je třeba síťové pakety směrovat, nebo jinými slovy, cesta, kterou sledují od zdroje k cíli, musí být nějak řízena.

Statické směrování je proces určení cesty pro síťové pakety jiné než výchozí, které poskytuje síťové zařízení známé jako výchozí brána. Pokud není prostřednictvím statického směrování uvedeno jinak, jsou síťové pakety směrovány na výchozí bránu; u statického směrování jsou další cesty definovány na základě předem definovaných kritérií, jako je například cíl paketu.

Pojďme definovat následující scénář pro tento tutoriál. Máme krabici Red Hat Enterprise Linux 7, která se připojuje k routeru #1 [192.168.0.1] pro přístup k internetu a počítačům v 192.168.0.0/24.

Druhý směrovač (směrovač #2) má dvě karty síťového rozhraní: enp0s3 je také připojen k směrovači #1 pro přístup k internetu a komunikaci s boxem RHEL 7 a dalšími počítači ve stejné síti, zatímco druhý (enp0s8) se používá k udělení přístupu k síti 10.0.0.0/24, kde jsou umístěny interní služby , jako je webový a/nebo databázový server.

Tento scénář je znázorněn na obrázku níže:

V tomto článku se zaměříme výhradně na nastavení směrovací tabulky na našem boxu RHEL 7, abychom se ujistili, že může přistupovat k internetu jak prostřednictvím routeru #1, tak k vnitřní síti. přes směrovač #2.

V RHEL 7 použijete příkaz ip ke konfiguraci a zobrazení zařízení a směrování pomocí příkazového řádku. Tyto změny se mohou na běžícím systému projevit okamžitě, ale protože nejsou trvalé po restartování, použijeme soubory ifcfg-enp0sX a route-enp0sX uvnitř /etc /sysconfig/network-scriptspro trvalé uložení naší konfigurace.

Pro začátek si vytiskneme naši aktuální směrovací tabulku:

ip route show

Z výše uvedeného výstupu můžeme vidět následující skutečnosti:

  1. IP adresa výchozí brány je 192.168.0.1 a lze k ní přistupovat prostřednictvím síťové karty enp0s3.
  2. Když se systém spustil, povolil trasu zeroconf na 169.254.0.0/16 (pro jistotu). Stručně řečeno, pokud je stroj nastaven tak, aby získal IP adresu přes DHCP, ale z nějakého důvodu tak neučiní, je mu automaticky přidělena adresa v této síti. Sečteno a podtrženo, tato cesta nám umožní komunikovat, také prostřednictvím enp0s3, s jinými stroji, kterým se nepodařilo získat IP adresu ze serveru DHCP.
  3. V neposlední řadě můžeme komunikovat s ostatními boxy uvnitř sítě 192.168.0.0/24 prostřednictvím enp0s3, jehož IP adresa je 192.168.0.18 .

Toto jsou typické úkoly, které byste v takovém nastavení museli provádět. Pokud není uvedeno jinak, následující úlohy by měly být prováděny v směrovači #2:

Ujistěte se, že jsou všechny síťové karty správně nainstalovány:

ip link show

Pokud je jeden z nich dole, zvedněte ho:

ip link set dev enp0s8 up

a přiřadit mu IP adresu v síti 10.0.0.0/24:

ip addr add 10.0.0.17 dev enp0s8

Jejda! Udělali jsme chybu v IP adrese. Budeme muset odstranit ten, který jsme přiřadili dříve, a poté přidat ten správný (10.0.0.18):

ip addr del 10.0.0.17 dev enp0s8
ip addr add 10.0.0.18 dev enp0s8

Nyní si prosím uvědomte, že trasu do cílové sítě můžete přidat pouze přes bránu, která je sama již dosažitelná. Z toho důvodu potřebujeme přiřadit IP adresu v rozsahu 192.168.0.0/24 k enp0s3, aby s ní náš box RHEL 7 mohl komunikovat:

ip addr add 192.168.0.19 dev enp0s3

Nakonec budeme muset povolit předávání paketů:

echo "1" > /proc/sys/net/ipv4/ip_forward

a zastavte/deaktivujte (prozatím – dokud se v dalším článku nezabýváme filtrováním paketů) firewall:

systemctl stop firewalld
systemctl disable firewalld

Vraťte se do pole RHEL 7 (192.168.0.18) a nakonfigurujte trasu na 10.0.0.0/24 přes 192.168.0.19 (enp0s3 v směrovači č. 2):

ip route add 10.0.0.0/24 via 192.168.0.19

Poté bude směrovací tabulka vypadat následovně:

ip route show

Podobně přidejte odpovídající trasu do strojů, ke kterým se snažíte dostat v 10.0.0.0/24:

ip route add 192.168.0.0/24 via 10.0.0.18

Základní konektivitu můžete otestovat pomocí pingu:

V poli RHEL 7 spusťte

ping -c 4 10.0.0.20

kde 10.0.0.20 je adresa IP webového serveru v síti 10.0.0.0/24.

Na webovém serveru (10.0.0.20) spusťte

ping -c 192.168.0.18

kde 192.168.0.18 je, jak si jistě vzpomenete, IP adresa našeho stroje RHEL 7.

Případně můžeme použít tcpdump (možná jej budete muset nainstalovat pomocí yum install tcpdump) ke kontrole obousměrné komunikace přes TCP mezi naším boxem RHEL 7 a webovým serverem na 10.0.0.20 .

Chcete-li to provést, začněte přihlašování na prvním počítači pomocí:

tcpdump -qnnvvv -i enp0s3 host 10.0.0.20

a z jiného terminálu ve stejném systému telnet na port 80 na webovém serveru (za předpokladu, že na tomto portu naslouchá Apache; v opačném případě uveďte pravý port v následujícím příkazu):

telnet 10.0.0.20 80

Protokol tcpdump by měl vypadat takto:

Kde bylo připojení správně inicializováno, jak můžeme zjistit při pohledu na obousměrnou komunikaci mezi naším RHEL 7 boxem (192.168.0.18) a webovým serverem (10.0.0.20).

Pamatujte, že tyto změny zmizí po restartování systému. Chcete-li, aby byly trvalé, budete muset upravit (nebo vytvořit, pokud ještě neexistují) následující soubory, ve stejných systémech, kde jsme provedli výše uvedené příkazy.

Ačkoli to není pro náš testovací případ nezbytně nutné, měli byste vědět, že /etc/sysconfig/network obsahuje systémové parametry sítě. Typický /etc/sysconfig/network vypadá následovně:

Enable networking on this system?
NETWORKING=yes
Hostname. Should match the value in /etc/hostname
HOSTNAME=yourhostnamehere
Default gateway
GATEWAY=XXX.XXX.XXX.XXX
Device used to connect to default gateway. Replace X with the appropriate number.
GATEWAYDEV=enp0sX

Pokud jde o nastavení konkrétních proměnných a hodnot pro každou síťovou kartu (jako jsme to udělali u routeru č. 2), budete muset upravit /etc/sysconfig/network-scripts/ifcfg-enp0s3 a /etc/sysconfig/network-scripts/ifcfg-enp0s8.

Po našem případu,

TYPE=Ethernet
BOOTPROTO=static
IPADDR=192.168.0.19
NETMASK=255.255.255.0
GATEWAY=192.168.0.1
NAME=enp0s3
ONBOOT=yes

a

TYPE=Ethernet
BOOTPROTO=static
IPADDR=10.0.0.18
NETMASK=255.255.255.0
GATEWAY=10.0.0.1
NAME=enp0s8
ONBOOT=yes

pro enp0s3 a enp0s8.

Pokud jde o směrování v našem klientském počítači (192.168.0.18), budeme muset upravit /etc/sysconfig/network-scripts/route-enp0s3:

10.0.0.0/24 via 192.168.0.19 dev enp0s3

Nyní restartujte svůj systém a měli byste tuto trasu vidět v tabulce.

souhrn

V tomto článku jsme probrali základy statického směrování v Red Hat Enterprise Linux 7. Ačkoli se scénáře mohou lišit, zde uvedený případ ilustruje požadované principy a postupy k provedení tohoto úkolu. Než skončím, rád bych vám doporučil, abyste se podívali na kapitolu 4 v části Zabezpečení a optimalizace Linuxu na webu Linux Documentation Project, kde najdete další podrobnosti o zde uvedených tématech.

Bezplatná e-kniha o Zabezpečení a optimalizaci Linuxu: Řešení pro hackování (v.3.0) – Tato elektronická kniha 800+ obsahuje komplexní sbírku bezpečnostních tipů pro Linux a jak je bezpečně a snadno používat ke konfiguraci aplikací a služeb založených na Linuxu.

Stáhnout teď

V příštím článku budeme hovořit o filtrování paketů a překladu síťových adres, abychom shrnuli základní síťové dovednosti potřebné pro certifikaci RHCE.

Jako vždy se těšíme na vaši odpověď, takže neváhejte zanechat své dotazy, komentáře a návrhy pomocí formuláře níže.