Weboldal keresés

RHCE sorozat: A statikus hálózati útválasztás beállítása és tesztelése – 1. rész

Az RHCE (Red Hat Certified Engineer) a Red Hat cég tanúsítványa, amely nyílt forráskódú operációs rendszert és szoftvert biztosít a vállalati közösség számára, valamint képzést, támogatást és tanácsadói szolgáltatások a vállalatok számára.

Ez az RHCE (Red Hat Certified Engineer) egy teljesítményalapú vizsga (kódnév: EX300), aki rendelkezik a további készségekkel, ismeretekkel és képességekkel Red Hat Enterprise Linux (RHEL) rendszerekért felelős vezető rendszergazdára van szükség.

Fontos: Az RHCE minősítés megszerzéséhez Red Hat Certified System Administrator (RHCSA) minősítés szükséges.

Az alábbiak a vizsga céljai a Red Hat Enterprise Linux 7 verziója alapján, amelyek ebben az RHCE-sorozatban fognak szerepelni:

Ha meg szeretné tekinteni a díjakat, és regisztrálni szeretne egy vizsgára az Ön országában, tekintse meg az RHCE Certification oldalt.

Az RHCE sorozat ezen 1. részében és a következőben bemutatjuk az alapvető, de tipikus eseteket, amikor a statikus útválasztás, a csomagszűrés és a hálózati címfordítás elve érvényesül. játékba.

Kérjük, vegye figyelembe, hogy nem foglalkozunk velük mélyrehatóan, hanem inkább úgy rendszerezzük ezeket a tartalmakat, hogy az segítse az első lépések megtételét és az építkezést.

Statikus útválasztás a Red Hat Enterprise Linux 7 rendszerben

A modern hálózatépítés egyik csodája az olyan eszközök hatalmas elérhetősége, amelyek képesek számítógépcsoportok összekapcsolására, akár viszonylag kis számban, akár egyetlen helyiségben, akár több gépben, ugyanabban az épületben, városban, országban vagy kontinenseken át.

Ahhoz azonban, hogy ezt minden helyzetben hatékonyan meg lehessen valósítani, a hálózati csomagokat irányítani kell, vagyis valahogy szabályozni kell azt az utat, amelyet a forrástól a célig követnek.

A statikus útválasztás az alapértelmezett átjáróként ismert hálózati eszköz által biztosított útvonal meghatározásának folyamata az alapértelmezetttől eltérő hálózati csomagokhoz. Hacsak a statikus útválasztás másként nem rendelkezik, a hálózati csomagok az alapértelmezett átjáróhoz kerülnek; statikus útválasztásnál más utak előre meghatározott kritériumok alapján vannak meghatározva, mint például a csomag célállomása.

Határozzuk meg a következő forgatókönyvet ehhez az oktatóanyaghoz. Van egy Red Hat Enterprise Linux 7 dobozunk, amely a #1 [192.168.0.1] útválasztóhoz csatlakozik, hogy elérje az internetet és a gépeket 192.168.0.0/24 alatt.

A második útválasztó (2. router) két hálózati interfész kártyával rendelkezik: az enp0s3 szintén csatlakozik az 1. útválasztóhoz az internet eléréséhez és a kommunikációhoz az RHEL 7 dobozzal és más gépekkel ugyanabban a hálózatban, míg a másik (enp0s8) hozzáférést biztosít a 10.0.0.0/24 hálózathoz, ahol a belső szolgáltatások találhatók. , például web- és/vagy adatbázisszerver.

Ezt a forgatókönyvet az alábbi diagram szemlélteti:

Ebben a cikkben kizárólag az útválasztó tábla beállítására összpontosítunk RHEL 7 dobozunkon, hogy megbizonyosodjunk arról, hogy az 1. útválasztón és a belső hálózaton keresztül is hozzáfér az internethez. a 2. útválasztón keresztül.

Az RHEL 7ben az ip parancsot fogja használni az eszközök és az útválasztás parancssor használatával történő konfigurálásához és megjelenítéséhez. Ezek a változtatások azonnal érvénybe léphetnek egy futó rendszeren, de mivel nem maradnak fenn az újraindítások során, az ifcfg-enp0sX és az route-enp0sX fájlokat az /etc fájlban fogjuk használni. /sysconfig/network-scripts a konfiguráció végleges mentéséhez.

Kezdésként nyomtassuk ki az aktuális útválasztási táblázatunkat:

ip route show

A fenti eredményből a következő tényeket láthatjuk:

  1. Az alapértelmezett átjáró IP-címe 192.168.0.1, és az enp0s3 hálózati kártyán keresztül érhető el.
  2. Amikor a rendszer elindult, engedélyezte a zeroconf útvonalat a 169.254.0.0/16 címre (minden esetre). Néhány szóval, ha egy gép úgy van beállítva, hogy DHCP-n keresztül szerezzen IP-címet, de ez valamilyen okból nem sikerül, akkor a rendszer automatikusan hozzárendel egy címet ebben a hálózatban. A lényeg az, hogy ez az útvonal lehetővé teszi számunkra, hogy az enp0s3-on keresztül is kommunikáljunk más olyan gépekkel, amelyeknek nem sikerült IP-címet szerezniük egy DHCP-kiszolgálótól.
  3. Végül, de nem utolsósorban a 192.168.0.0/24 hálózaton belül kommunikálhatunk az enp0s3-on keresztül, amelynek IP-címe 192.168.0.18 >.

Ezek azok a tipikus feladatok, amelyeket ilyen környezetben kell végrehajtania. Eltérő rendelkezés hiányában a következő feladatokat kell végrehajtani a 2. útválasztóban:

Győződjön meg arról, hogy az összes hálózati kártya megfelelően van telepítve:

ip link show

Ha valamelyik leesett, hozd fel:

ip link set dev enp0s8 up

és rendeljen hozzá egy IP-címet a 10.0.0.0/24 hálózatban:

ip addr add 10.0.0.17 dev enp0s8

Hoppá! Hibát vétettünk az IP címben. El kell távolítanunk a korábban hozzárendeltet, majd hozzá kell adnunk a megfelelőt (10.0.0.18):

ip addr del 10.0.0.17 dev enp0s8
ip addr add 10.0.0.18 dev enp0s8

Kérjük, vegye figyelembe, hogy csak olyan átjárón keresztül adhat hozzá útvonalat a célhálózathoz, amely már maga is elérhető. Emiatt a 192.168.0.0/24 tartományon belüli IP-címet kell hozzárendelnünk az enp0s3-hoz, hogy RHEL 7 dobozunk kommunikálni tudjon vele:

ip addr add 192.168.0.19 dev enp0s3

Végül engedélyeznünk kell a csomagtovábbítást:

echo "1" > /proc/sys/net/ipv4/ip_forward

és állítsa le/tiltsa le (egyelőre - amíg a csomagszűréssel nem foglalkozunk a következő cikkben) a tűzfalat:

systemctl stop firewalld
systemctl disable firewalld

Visszatérve az RHEL 7 mezőbe (192.168.0.18), konfiguráljunk egy útvonalat a 10.0.0.0/24 és a 192.168.0.19 közötti (enp0s3 a 2. útválasztóban):

ip route add 10.0.0.0/24 via 192.168.0.19

Ezt követően az útválasztási táblázat a következőképpen néz ki:

ip route show

Hasonlóképpen adja hozzá a megfelelő útvonalat az elérni kívánt gép(ek)hez 10.0.0.0/24:

ip route add 192.168.0.0/24 via 10.0.0.18

Az alapvető csatlakozást a ping segítségével tesztelheti:

Az RHEL 7 mezőben futtassa

ping -c 4 10.0.0.20

ahol a 10.0.0.20 egy webszerver IP-címe a 10.0.0.0/24 hálózaton.

A webszerveren (10.0.0.20) futtassa

ping -c 192.168.0.18

ahol a 192.168.0.18 az RHEL 7-es gépünk IP-címe.

Alternatív megoldásként használhatjuk a tcpdump-ot (lehet, hogy a yum install tcpdump paranccsal kell telepítenie), hogy ellenőrizzük a TCP-n keresztüli kétirányú kommunikációt az RHEL 7 doboz és a webszerver között a 10.0.0.20 címen. .

Ehhez kezdjük a naplózást az első gépen a következővel:

tcpdump -qnnvvv -i enp0s3 host 10.0.0.20

és ugyanabban a rendszerben egy másik terminálról telnet a 80 portra a webszerveren (feltételezve, hogy az Apache figyel ezen a porton; ellenkező esetben jelezze a megfelelő portot a következő parancsban):

telnet 10.0.0.20 80

A tcpdump naplónak a következőképpen kell kinéznie:

Hol van megfelelően inicializálva a kapcsolat, amint azt az RHEL 7 dobozunk (192.168.0.18) és a webszerver (<) közötti kétirányú kommunikációból láthatjuk.10.0.0.20).

Ne feledje, hogy ezek a változtatások a rendszer újraindításakor megszűnnek. Ha tartóssá szeretné tenni őket, akkor szerkesztenie kell (vagy létre kell hoznia, ha még nem léteznek) a következő fájlokat ugyanazokon a rendszereken, ahol a fenti parancsokat végrehajtottuk.

Bár nem feltétlenül szükséges tesztesetünkhöz, tudnia kell, hogy az /etc/sysconfig/network rendszerszintű hálózati paramétereket tartalmaz. Egy tipikus /etc/sysconfig/network a következőképpen néz ki:

Enable networking on this system?
NETWORKING=yes
Hostname. Should match the value in /etc/hostname
HOSTNAME=yourhostnamehere
Default gateway
GATEWAY=XXX.XXX.XXX.XXX
Device used to connect to default gateway. Replace X with the appropriate number.
GATEWAYDEV=enp0sX

Ha konkrét változókat és értékeket kell beállítani az egyes hálózati kártyákhoz (ahogyan a 2-es útválasztó esetében tettük), akkor szerkesztenie kell a /etc/sysconfig/network-scripts/ifcfg-enp0s3 és az fájlokat. /etc/sysconfig/network-scripts/ifcfg-enp0s8.

Az esetünk nyomán

TYPE=Ethernet
BOOTPROTO=static
IPADDR=192.168.0.19
NETMASK=255.255.255.0
GATEWAY=192.168.0.1
NAME=enp0s3
ONBOOT=yes

és

TYPE=Ethernet
BOOTPROTO=static
IPADDR=10.0.0.18
NETMASK=255.255.255.0
GATEWAY=10.0.0.1
NAME=enp0s8
ONBOOT=yes

az enp0s3 és az enp0s8 esetén.

Ami a kliensgépünkön (192.168.0.18) történő útválasztást illeti, módosítanunk kell a következőt: /etc/sysconfig/network-scripts/route-enp0s3:

10.0.0.0/24 via 192.168.0.19 dev enp0s3

Most indítsa újra a rendszert, és látnia kell az útvonalat a táblázatban.

Összegzés

Ebben a cikkben a Red Hat Enterprise Linux 7 statikus útválasztásának alapjait ismertetjük. Bár a forgatókönyvek eltérőek lehetnek, az itt bemutatott eset illusztrálja a feladat végrehajtásához szükséges elveket és eljárásokat. Mielőtt befejezné, azt javaslom, hogy vessen egy pillantást a The Linux Documentation Project webhely Linux biztonsága és optimalizálása szakaszának 4. fejezetére az itt tárgyalt témákkal kapcsolatos további részletekért.

Ingyenes e-könyv a Linux biztonsága és optimalizálása: A hackelési megoldás (v.3.0) témakörben – Ez a 800+ e-könyv átfogó gyűjteményt tartalmaz Linux biztonsági tippekről, valamint azok biztonságos és egyszerű használatáról Linux alapú alkalmazások és szolgáltatások konfigurálásához.

Letöltés most

A következő cikkben a csomagszűrésről és a hálózati címfordításról fogunk beszélni, hogy összefoglaljuk az RHCE tanúsításhoz szükséges hálózati alapkészségeket.

Mint mindig, most is szeretettel várjuk minden érdeklődését, így kérdéseit, észrevételeit és javaslatait az alábbi űrlap segítségével nyugodtan megteheti.