Pakettisuodatuksen, verkko-osoitteen muuntamisen ja ytimen ajonaikaisen parametrin asettaminen - osa 2

Kuten osassa 1 (Staattisen verkon reitityksen asetukset) luvattiin, tässä artikkelissa (RHCE-sarjan osa 2) aloitamme esittelemällä pakettien suodatuksen ja verkko-osoitteen muuntamisen (NAT) periaatteet Red Hat Enterprise Linux 7: ssä ennen sukellusta asettamaan ajonaikaisen ytimen parametrit muuttamaan käynnissä olevan ytimen käyttäytymistä, jos tietyt olosuhteet muuttuvat tai jos tarvetta ilmenee.

Verkkopakettisuodatus RHEL: ssä 7

Kun puhumme pakettisuodatuksesta, viitataan palomuurin suorittamaan prosessiin, jossa se lukee jokaisen sen läpi kulkevan datapaketin otsikon. Sitten se suodattaa paketin tekemällä vaaditut toimet järjestelmän järjestelmänvalvojan aiemmin määrittelemien sääntöjen perusteella.

Kuten luultavasti tiedät, RHEL 7: stä alkaen palomuurisääntöjä hallinnoiva oletuspalvelu on palomuuri. Kuten iptables, se puhuu Linux-ytimen netfilter-moduulin kanssa tutkiakseen ja käsittelemään verkkopaketteja. Päinvastoin kuin iptables, päivitykset voivat tulla voimaan keskeyttämättä aktiivisia yhteyksiä - sinun ei tarvitse edes käynnistää palvelua uudelleen.

Toinen palomuurin etu on, että sen avulla voimme määritellä säännöt ennalta määritettyjen palvelunimien perusteella (lisää siitä minuutissa).

Osassa 1 käytimme seuraavaa skenaariota:

Muistat kuitenkin, että poistimme reitittimen 2 palomuurin käytöstä esimerkin yksinkertaistamiseksi, koska emme olleet vielä käsitelleet pakettisuodatusta. Katsotaanpa nyt, kuinka voimme ottaa käyttöön saapuvat paketit, jotka on tarkoitettu tiettyyn palveluun tai porttiin määränpäässä.

Ensinnäkin lisätään pysyvä sääntö sallimaan saapuva liikenne enp0s3: ssa (192.168.0.19) enp0s8: een (10.0.0.18):

# firewall-cmd --permanent --direct --add-rule ipv4 filter FORWARD 0 -i enp0s3 -o enp0s8 -j ACCEPT

Yllä oleva komento tallentaa säännön tiedostoon /etc/firewalld/direct.xml:

# cat /etc/firewalld/direct.xml

Salli sitten säännön voimaantulo heti:

# firewall-cmd --direct --add-rule ipv4 filter FORWARD 0 -i enp0s3 -o enp0s8 -j ACCEPT

Nyt voit telnetata verkkopalvelimeen RHEL 7 -ruudusta ja suorittaa tcpdump uudelleen seurataksesi kahden koneen välistä TCP-liikennettä tällä kertaa reitittimen # 2 palomuurin ollessa käytössä.

# telnet 10.0.0.20 80
# tcpdump -qnnvvv -i enp0s3 host 10.0.0.20

Entä jos haluat sallia saapuvat yhteydet verkkopalvelimeen (portti 80) vain 192.168.0.18: sta ja estää yhteydet muista lähteistä 192.168.0.0/24 -verkossa?

Lisää seuraavat säännöt verkkopalvelimen palomuuriin:

# firewall-cmd --add-rich-rule 'rule family="ipv4" source address="192.168.0.18/24" service name="http" accept'
# firewall-cmd --add-rich-rule 'rule family="ipv4" source address="192.168.0.18/24" service name="http" accept' --permanent
# firewall-cmd --add-rich-rule 'rule family="ipv4" source address="192.168.0.0/24" service name="http" drop'
# firewall-cmd --add-rich-rule 'rule family="ipv4" source address="192.168.0.0/24" service name="http" drop' --permanent

Nyt voit tehdä HTTP-pyyntöjä verkkopalvelimelle osoitteesta 192.168.0.18 ja muulta koneelta 192.168.0.0/24: ssä. Ensimmäisessä tapauksessa yhteyden on muodostuttava onnistuneesti, kun taas toisessa se aikakatkaistaan.

Voit tehdä tämän tekemällä minkä tahansa seuraavista komennoista:

# telnet 10.0.0.20 80
# wget 10.0.0.20

Kehotan sinua tutustumaan tarkkaan Richora-sääntöihin Firewalld Rich Language -dokumentaatiossa Fedora Project Wikissä.

Verkko-osoitekäännös RHEL: ssä 7

Verkko-osoitekäännös (NAT) on prosessi, jossa yksityisen verkon ryhmälle tietokoneille (se voi myös olla vain yksi niistä) määritetään yksilöllinen julkinen IP-osoite. Tämän seurauksena heidät tunnistetaan edelleen yksilöllisesti omalla yksityisellä IP-osoitteellaan verkon sisällä, mutta ulkopuolelta ne kaikki "näyttävät" samoilta.