RHCE-sarja: Staattisen verkon reitityksen määrittäminen ja testaaminen - Osa 1


RHCE (Red Hat Certified Engineer) on Red Hat -yrityksen myöntämä sertifikaatti, joka tarjoaa avoimen lähdekoodin käyttöjärjestelmän ja ohjelmiston yritysyhteisölle. Se tarjoaa myös koulutusta, tukea ja konsultointipalvelut yrityksille.

Tämä RHCE (Red Hat Certified Engineer) on suorituskykyyn perustuva koe (koodinimi EX300), jolla on lisätaitoja, -tietoja ja -kykyjä. vaaditaan Red Hat Enterprise Linux (RHEL) -järjestelmistä vastaavalta vanhemmalta järjestelmänvalvojalta.

Tärkeää: Red Hat Certified System Administrator (RHCSA) -sertifikaatti vaaditaan RHCE-sertifioinnin saamiseksi.

Seuraavat ovat kokeen tavoitteet, jotka perustuvat kokeen Red Hat Enterprise Linux 7 -versioon, joka kattaa tässä RHCE-sarjassa:

Katso maksut ja rekisteröidy kokeeseen maassasi RHCE-sertifiointisivulta.

Tässä RHCE-sarjan osassa 1 ja seuraavassa esittelemme perus, mutta tyypillisiä tapauksia, joissa staattisen reitityksen, pakettisuodatuksen ja verkko-osoitteiden muuntamisen periaatteet tulevat voimaan. peliin.

Huomaa, että emme käsittele niitä perusteellisesti, vaan järjestämme nämä sisällöt niin, että niistä on hyötyä ensimmäisten askelten ottamisessa ja rakentamisessa.

Staattinen reititys Red Hat Enterprise Linux 7:ssä

Yksi nykyaikaisen verkottumisen ihmeistä on sellaisten laitteiden laaja saatavuus, jotka voivat yhdistää tietokoneryhmiä, olivatpa ne sitten suhteellisen pieniä ja rajoittuneet yhteen huoneeseen tai useisiin koneisiin samassa rakennuksessa, kaupungissa, maassa tai eri mantereilla.

Kuitenkin, jotta tämä saavutettaisiin tehokkaasti missä tahansa tilanteessa, verkkopaketit täytyy reitittää, eli toisin sanoen niiden polku lähteestä määränpäähän on jollain tavalla hallittava.

Staattinen reititys on prosessi, jossa määritetään reitti muille verkkopaketteille kuin oletusyhdyskäytäväksi kutsuttu verkkolaite. Ellei staattisen reitityksen kautta toisin mainita, verkkopaketit ohjataan oletusyhdyskäytävään; staattista reititystä käytettäessä muut reitit määritellään ennalta määritettyjen kriteerien, kuten paketin määränpään, perusteella.

Määritetään seuraava skenaario tälle opetusohjelmalle. Meillä on Red Hat Enterprise Linux 7 -laatikko, joka muodostaa yhteyden reitittimeen #1 [192.168.0.1], jotta voimme käyttää Internetiä ja koneita osoitteessa 192.168.0.0/24.

Toisessa reitittimessä (reititin #2) on kaksi verkkoliitäntäkorttia: enp0s3 on myös yhdistetty reitittimeen #1 Internetiin pääsyä ja viestintää varten. RHEL 7 -laatikon ja muiden koneiden kanssa samassa verkossa, kun taas toista (enp0s8) käytetään pääsyn myöntämiseen 10.0.0.0/24-verkkoon, jossa sisäiset palvelut sijaitsevat , kuten verkko- ja/tai tietokantapalvelin.

Tämä skenaario on kuvattu alla olevassa kaaviossa:

Tässä artikkelissa keskitymme yksinomaan reititystaulukon määrittämiseen RHEL 7 -laatikossamme varmistaaksemme, että se voi käyttää Internetiä reitittimen #1 ja sisäisen verkon kautta. reitittimen #2 kautta.

RHEL 7:ssä käytät ip-komentoa laitteiden ja reititysten määrittämiseen ja näyttämiseen komentorivin avulla. Nämä muutokset voivat tulla voimaan välittömästi käynnissä olevassa järjestelmässä, mutta koska ne eivät ole pysyviä uudelleenkäynnistyksen aikana, käytämme ifcfg-enp0sX- ja route-enp0sX-tiedostoja /etc-tiedostoissa. /sysconfig/network-scripts tallentaaksesi kokoonpanomme pysyvästi.

Aluksi tulostetaan nykyinen reititystaulukko:

ip route show

Yllä olevasta tuloksesta voimme nähdä seuraavat tosiasiat:

  1. Oletusyhdyskäytävän IP-osoite on 192.168.0.1 ja sitä voidaan käyttää enp0s3 NIC:n kautta.
  2. Kun järjestelmä käynnistyi, se otti käyttöön zeroconf-reitin osoitteeseen 169.254.0.0/16 (varmuuden vuoksi). Lyhyesti sanottuna, jos laite on asetettu hankkimaan IP-osoite DHCP:n kautta, mutta se ei jostain syystä tee sitä, sille annetaan automaattisesti osoite tässä verkossa. Tärkeintä on, että tämän reitin avulla voimme kommunikoida myös enp0s3:n kautta muiden koneiden kanssa, jotka eivät ole saaneet IP-osoitetta DHCP-palvelimelta.
  3. Viimeisenä, mutta ei vähäisimpänä, voimme kommunikoida muiden 192.168.0.0/24-verkon sisällä olevien laatikoiden kanssa enp0s3 -verkon kautta, jonka IP-osoite on 192.168.0.18. >.

Nämä ovat tyypillisiä tehtäviä, jotka sinun on suoritettava sellaisessa ympäristössä. Ellei toisin mainita, reitittimessä 2 tulee suorittaa seuraavat tehtävät:

Varmista, että kaikki verkkokortit on asennettu oikein:

ip link show

Jos yksi niistä on alhaalla, tuo se esiin:

ip link set dev enp0s8 up

ja määritä sille IP-osoite 10.0.0.0/24-verkossa:

ip addr add 10.0.0.17 dev enp0s8

Oho! Teimme virheen IP-osoitteessa. Meidän on poistettava aiemmin määrittämämme ja lisättävä sitten oikea (10.0.0.18):

ip addr del 10.0.0.17 dev enp0s8
ip addr add 10.0.0.18 dev enp0s8

Huomaa nyt, että voit lisätä reitin kohdeverkkoon vain sellaisen yhdyskäytävän kautta, joka on jo tavoitettavissa. Tästä syystä meidän on määritettävä enp0s3:lle IP-osoite alueella 192.168.0.0/24, jotta RHEL 7 -laatikkomme voi kommunikoida sen kanssa:

ip addr add 192.168.0.19 dev enp0s3

Lopuksi meidän on otettava käyttöön pakettien edelleenlähetys:

echo "1" > /proc/sys/net/ipv4/ip_forward

ja pysäytä/poista käytöstä (vain toistaiseksi - kunnes käsittelemme pakettien suodatuksen seuraavassa artikkelissa) palomuuri:

systemctl stop firewalld
systemctl disable firewalld

Takaisin RHEL 7 -laatikkoomme (192.168.0.18) määritetään reitti 10.0.0.0/24 - 192.168.0.19. (enp0s3 reitittimessä 2):

ip route add 10.0.0.0/24 via 192.168.0.19

Tämän jälkeen reititystaulukko näyttää seuraavalta:

ip route show

Lisää vastaava reitti koneisiin, joita yrität saavuttaa, 10.0.0.0/24:

ip route add 192.168.0.0/24 via 10.0.0.18

Voit testata perusyhteyksiä pingillä:

Suorita RHEL 7 -ruudussa

ping -c 4 10.0.0.20

missä 10.0.0.20 on verkkopalvelimen IP-osoite 10.0.0.0/24-verkossa.

Suorita verkkopalvelimessa (10.0.0.20).

ping -c 192.168.0.18

jossa 192.168.0.18 on, kuten muistat, RHEL 7 -koneemme IP-osoite.

Vaihtoehtoisesti voimme käyttää tcpdumpia (sinun on ehkä asennettava se komennolla yum install tcpdump) tarkistaaksemme kaksisuuntaisen tiedonsiirron TCP:n kautta RHEL 7 -laatikkomme ja verkkopalvelimen välillä osoitteessa 10.0.0.20. .

Aloitetaan kirjautuminen ensimmäiseen koneeseen seuraavasti:

tcpdump -qnnvvv -i enp0s3 host 10.0.0.20

ja toisesta saman järjestelmän päätteestä telnet portti 80 verkkopalvelimessa (olettaen, että Apache kuuntelee tätä porttia; muussa tapauksessa ilmoita oikea portti seuraavassa komennossa):

telnet 10.0.0.20 80

tcpdump-lokin pitäisi näyttää seuraavalta:

Missä yhteys on alustettu oikein, kuten voimme todeta katsomalla RHEL 7 -laatikkomme (192.168.0.18) ja verkkopalvelimen (<) välistä kaksisuuntaista viestintää10.0.0.20).

Muista, että nämä muutokset poistuvat, kun käynnistät järjestelmän uudelleen. Jos haluat tehdä niistä pysyviä, sinun on muokattava (tai luotava, jos niitä ei vielä ole) seuraavat tiedostot samoissa järjestelmissä, joissa suoritimme yllä olevat komennot.

Vaikka se ei ole ehdottoman välttämätöntä testitapauksessamme, sinun pitäisi tietää, että /etc/sysconfig/network sisältää järjestelmän laajuisia verkkoparametreja. Tyypillinen /etc/sysconfig/network näyttää tältä:

Enable networking on this system?
NETWORKING=yes
Hostname. Should match the value in /etc/hostname
HOSTNAME=yourhostnamehere
Default gateway
GATEWAY=XXX.XXX.XXX.XXX
Device used to connect to default gateway. Replace X with the appropriate number.
GATEWAYDEV=enp0sX

Kun on kyse tiettyjen muuttujien ja arvojen asettamisesta kullekin verkkokortille (kuten teimme reitittimelle 2), sinun on muokattava /etc/sysconfig/network-scripts/ifcfg-enp0s3 ja /etc/sysconfig/network-scripts/ifcfg-enp0s8.

Meidän tapauksemme jälkeen

TYPE=Ethernet
BOOTPROTO=static
IPADDR=192.168.0.19
NETMASK=255.255.255.0
GATEWAY=192.168.0.1
NAME=enp0s3
ONBOOT=yes

ja

TYPE=Ethernet
BOOTPROTO=static
IPADDR=10.0.0.18
NETMASK=255.255.255.0
GATEWAY=10.0.0.1
NAME=enp0s8
ONBOOT=yes

enp0s3 ja enp0s8, vastaavasti.

Mitä tulee asiakaskoneemme reitittämiseen (192.168.0.18), meidän on muokattava /etc/sysconfig/network-scripts/route-enp0s3:

10.0.0.0/24 via 192.168.0.19 dev enp0s3

Käynnistä nyt järjestelmäsi ja sinun pitäisi nähdä tämä reitti taulukossasi.

Yhteenveto

Tässä artikkelissa olemme käsitelleet Red Hat Enterprise Linux 7:n staattisen reitityksen perusasiat. Vaikka skenaariot voivat vaihdella, tässä esitetty tapaus havainnollistaa vaadittuja periaatteita ja menettelyjä tämän tehtävän suorittamiseksi. Ennen kuin päätän, suosittelen, että tutustut Linux Documentation Project -sivuston Linuxin suojaaminen ja optimointi -osion lukuun 4 saadaksesi lisätietoja tässä käsitellyistä aiheista.

Ilmainen e-kirja aiheesta Linuxin turvaaminen ja optimointi: Hakkerointiratkaisu (v.3.0) – Tämä 800+ e-kirja sisältää kattavan kokoelman Linuxin tietoturvavinkkejä ja niiden turvallisen ja helpon käytön Linux-pohjaisten sovellusten ja palveluiden määrittämiseen.

Lataa nyt

Seuraavassa artikkelissa puhumme pakettisuodatuksesta ja verkko-osoitteiden käännöksestä tiivistämään RHCE-sertifioinnin edellyttämät verkottumisen perustaidot.

Kuten aina, odotamme innolla kuulevamme sinusta, joten jätä kysymyksesi, kommenttisi ja ehdotuksesi alla olevalla lomakkeella.