Serija RHCE: Kako postaviti i testirati statičko mrežno usmjeravanje - 1. dio
RHCE (Red Hat Certified Engineer) je certifikat tvrtke Red Hat koji poslovnoj zajednici daje operativni sustav otvorenog koda i softver, također pruža obuku, podršku i konzultantske usluge za tvrtke.
Ovaj RHCE (Red Hat certificirani inženjer) ispit je temeljen na učinku (kodni naziv EX300), koji posjeduje dodatne vještine, znanja i sposobnosti potrebno od višeg administratora sustava odgovornog za sustave Red Hat Enterprise Linux (RHEL).
Važno: certificiranje Red Hat Certified System Administrator (RHCSA) potrebno je za stjecanje RHCE certifikata.
Slijede ciljevi ispita temeljeni na Red Hat Enterprise Linux 7 verziji ispita, koji će biti obuhvaćeni ovom RHCE serijom:
Da biste vidjeli naknade i prijavili se za ispit u svojoj zemlji, provjerite stranicu RHCE certifikata.
U ovom 1. dijelu serije RHCE i sljedećim, predstavit ćemo osnovne, ali tipične slučajeve u kojima dolaze principi statičkog usmjeravanja, filtriranja paketa i prevođenja mrežnih adresa u igru.
Imajte na umu da ih nećemo obraditi u dubinu, već organizirati te sadržaje na takav način da će biti od pomoći u poduzimanju prvih koraka i izgradnji dalje.
Statičko usmjeravanje u Red Hat Enterprise Linux 7
Jedno od čuda modernog umrežavanja je ogromna dostupnost uređaja koji mogu povezati grupe računala, bilo u relativno malom broju i ograničenih na jednu prostoriju ili na nekoliko strojeva u istoj zgradi, gradu, zemlji ili diljem kontinenata.
Međutim, kako bi se to učinkovito postiglo u bilo kojoj situaciji, mrežni paketi moraju biti usmjereni, ili drugim riječima, put koji slijede od izvora do odredišta mora se nekako upravljati.
Statičko usmjeravanje je postupak određivanja rute za mrežne pakete koji nisu zadani, a koju osigurava mrežni uređaj poznat kao zadani pristupnik. Osim ako nije drugačije navedeno putem statičkog usmjeravanja, mrežni paketi se usmjeravaju na zadani pristupnik; kod statičkog usmjeravanja, drugi se putovi definiraju na temelju unaprijed definiranih kriterija, kao što je odredište paketa.
Definirajmo sljedeći scenarij za ovaj vodič. Imamo Red Hat Enterprise Linux 7 okvir koji se povezuje na usmjerivač #1 [192.168.0.1] za pristup Internetu i strojevima na 192.168.0.0/24.
Drugi usmjerivač (usmjerivač #2) ima dvije kartice mrežnog sučelja: enp0s3 također je spojen na usmjerivač #1 za pristup internetu i komunikaciju s RHEL 7 kutijom i drugim strojevima u istoj mreži, dok se drugi (enp0s8) koristi za odobravanje pristupa mreži 10.0.0.0/24 gdje se nalaze interne usluge , kao što je web i/ili poslužitelj baze podataka.
Ovaj scenarij ilustriran je na dijagramu u nastavku:
U ovom ćemo se članku usredotočiti isključivo na postavljanje tablice usmjeravanja na našoj RHEL 7 kutiji kako bismo bili sigurni da može pristupiti internetu putem usmjerivača #1 i interne mreže preko usmjerivača #2.
U RHEL 7, koristit ćete naredbu ip za konfiguraciju i prikaz uređaja i usmjeravanja pomoću naredbenog retka. Ove promjene mogu odmah stupiti na snagu na pokrenutom sustavu, ali budući da nisu trajne nakon ponovnog pokretanja, koristit ćemo datoteke ifcfg-enp0sX i route-enp0sX unutar /etc /sysconfig/network-scripts za trajno spremanje naše konfiguracije.
Za početak, ispišite našu trenutnu tablicu usmjeravanja:
ip route show
Iz gornjeg rezultata možemo vidjeti sljedeće činjenice:
- Zadana IP adresa pristupnika je 192.168.0.1 i može joj se pristupiti putem enp0s3 NIC-a.
- Kad se sustav pokrenuo, omogućio je zeroconf rutu na 169.254.0.0/16 (za svaki slučaj). U nekoliko riječi, ako je stroj postavljen da dobije IP adresu putem DHCP-a, ali to ne uspije učiniti iz nekog razloga, automatski mu se dodjeljuje adresa u ovoj mreži. Zaključak je da će nam ova ruta omogućiti komunikaciju, također putem enp0s3, s drugim strojevima koji nisu uspjeli dobiti IP adresu s DHCP poslužitelja.
- Na kraju, ali ne manje važno, možemo komunicirati s drugim uređajima unutar 192.168.0.0/24 mreže putem enp0s3, čija je IP adresa 192.168.0.18 >.
Ovo su tipični zadaci koje biste morali obaviti u takvom okruženju. Osim ako nije drugačije navedeno, sljedeće zadatke treba izvršiti u usmjerivaču #2:
Provjerite jesu li sve mrežne kartice ispravno instalirane:
ip link show
Ako jedan od njih ne radi, pokažite ga:
ip link set dev enp0s8 up
i dodijelite mu IP adresu u mreži 10.0.0.0/24:
ip addr add 10.0.0.17 dev enp0s8
Ups! Pogriješili smo u IP adresi. Morat ćemo ukloniti onu koju smo ranije dodijelili i zatim dodati pravu (10.0.0.18):
ip addr del 10.0.0.17 dev enp0s8
ip addr add 10.0.0.18 dev enp0s8
Imajte na umu da rutu odredišnoj mreži možete dodati samo preko pristupnika koji je već dostupan. Iz tog razloga moramo dodijeliti IP adresu unutar 192.168.0.0/24 raspona za enp0s3 tako da naš RHEL 7 okvir može komunicirati s njim:
ip addr add 192.168.0.19 dev enp0s3
Na kraju, morat ćemo omogućiti prosljeđivanje paketa:
echo "1" > /proc/sys/net/ipv4/ip_forward
i zaustavite/onemogućite (samo na neko vrijeme – dok ne obradimo filtriranje paketa u sljedećem članku) vatrozid:
systemctl stop firewalld
systemctl disable firewalld
Vratimo se u okvir RHEL 7 (192.168.0.18), konfigurirajmo rutu do 10.0.0.0/24 do 192.168.0.19 (enp0s3 u usmjerivaču #2):
ip route add 10.0.0.0/24 via 192.168.0.19
Nakon toga, tablica usmjeravanja izgleda ovako:
ip route show
Isto tako, dodajte odgovarajuću rutu u stroj(e) do kojih pokušavate doći u 10.0.0.0/24:
ip route add 192.168.0.0/24 via 10.0.0.18
Možete testirati osnovnu povezanost pomoću pinga:
U okviru RHEL 7 pokrenite
ping -c 4 10.0.0.20
gdje je 10.0.0.20 IP adresa web poslužitelja u mreži 10.0.0.0/24.
Na web poslužitelju (10.0.0.20) pokrenite
ping -c 192.168.0.18
gdje je 192.168.0.18, kao što se sjećate, IP adresa našeg RHEL 7 stroja.
Alternativno, možemo koristiti tcpdump (možda ćete ga morati instalirati s yum install tcpdump) da provjerite dvosmjernu komunikaciju preko TCP-a između našeg RHEL 7 okvira i web poslužitelja na 10.0.0.20 .
Da bismo to učinili, započnimo prijavljivanje na prvom stroju s:
tcpdump -qnnvvv -i enp0s3 host 10.0.0.20
i s drugog terminala u istom sustavu telnet do porta 80 na web poslužitelju (pod pretpostavkom da Apache sluša taj port; u suprotnom označite desni port u sljedećoj naredbi):
telnet 10.0.0.20 80
Dnevnik tcpdump trebao bi izgledati ovako:
Gdje je veza ispravno inicijalizirana, kao što možemo vidjeti gledajući dvosmjernu komunikaciju između našeg RHEL 7 okvira (192.168.0.18) i web poslužitelja (10.0.0.20).
Upamtite da će te promjene nestati kada ponovno pokrenete sustav. Ako ih želite učiniti postojanim, morat ćete urediti (ili stvoriti, ako već ne postoje) sljedeće datoteke, u istim sustavima u kojima smo izvršili gornje naredbe.
Iako nije striktno potrebno za naš testni slučaj, trebali biste znati da /etc/sysconfig/network sadrži mrežne parametre za cijeli sustav. Tipični /etc/sysconfig/network izgleda ovako:
Enable networking on this system?
NETWORKING=yes
Hostname. Should match the value in /etc/hostname
HOSTNAME=yourhostnamehere
Default gateway
GATEWAY=XXX.XXX.XXX.XXX
Device used to connect to default gateway. Replace X with the appropriate number.
GATEWAYDEV=enp0sX
Što se tiče postavljanja specifičnih varijabli i vrijednosti za svaki NIC (kao što smo učinili za router #2), morat ćete urediti /etc/sysconfig/network-scripts/ifcfg-enp0s3 i /etc/sysconfig/network-scripts/ifcfg-enp0s8.
Prateći naš slučaj,
TYPE=Ethernet
BOOTPROTO=static
IPADDR=192.168.0.19
NETMASK=255.255.255.0
GATEWAY=192.168.0.1
NAME=enp0s3
ONBOOT=yes
i
TYPE=Ethernet
BOOTPROTO=static
IPADDR=10.0.0.18
NETMASK=255.255.255.0
GATEWAY=10.0.0.1
NAME=enp0s8
ONBOOT=yes
za enp0s3 odnosno enp0s8.
Što se tiče usmjeravanja na našem klijentskom računalu (192.168.0.18), morat ćemo urediti /etc/sysconfig/network-scripts/route-enp0s3:
10.0.0.0/24 via 192.168.0.19 dev enp0s3
Sada ponovno pokrenite svoj sustav i trebali biste vidjeti tu rutu u svojoj tablici.
Sažetak
U ovom članku pokrili smo osnove statičkog usmjeravanja u Red Hat Enterprise Linux 7. Iako se scenariji mogu razlikovati, ovdje predstavljeni slučaj ilustrira potrebna načela i postupke za obavljanje ovog zadatka. Prije nego završimo, želio bih vam predložiti da pogledate 4. poglavlje odjeljka Osiguranje i optimiziranje Linuxa na web-mjestu Linux Documentation Project za dodatne pojedinosti o temama koje su ovdje obrađene.
Besplatna e-knjiga o Osiguranju i optimizaciji Linuxa: Rješenje za hakiranje (v.3.0) – Ova 800+ e-knjiga sadrži opsežnu zbirku sigurnosnih savjeta za Linux i kako ih koristiti sigurno i jednostavno za konfiguriranje aplikacija i usluga temeljenih na Linuxu.
Preuzeti sada
U sljedećem ćemo članku govoriti o filtriranju paketa i prevođenju mrežne adrese kako bismo saželi osnovne vještine umrežavanja potrebne za RHCE certifikaciju.
Kao i uvijek, veselimo se vašem odgovoru, stoga slobodno ostavite svoja pitanja, komentare i prijedloge putem donjeg obrasca.