RHCE Serie: Wéi Setup a Test Static Network Routing - Deel 1


RHCE (Red Hat Certified Engineer) ass eng Zertifizéierung vun der Red Hat Firma, déi en Open Source Betribssystem a Software un d'Entreprise Gemeinschaft gëtt, Et gëtt och Training, Ënnerstëtzung a Berodungsservicer fir d'Firmen.

Dëse RHCE (Red Hat Certified Engineer) ass e Performance-baséiert Examen (Codename EX300), deen déi zousätzlech Fäegkeeten, Wëssen a Fäegkeeten huet, déi vun engem Senior Systemadministrator verantwortlech sinn fir Red Hat Enterprise Linux (RHEL) Systemer.

Wichteg: Red Hat Certified System Administrator (RHCSA) Zertifizéierung ass erfuerderlech fir RHCE Zertifizéierung ze verdéngen.

Folgend sinn d'Examenziler baséiert op der Red Hat Enterprise Linux 7 Versioun vum Examen, déi an dëser RHCE Serie ofdecken:

Fir Käschten ze gesinn an Iech fir en Examen an Ärem Land anzeschreiwen, kuckt d'RHCE Zertifizéierungs Säit.

An dësem Deel 1 vun der RHCE Serie an déi nächst wäerte mir Basis, awer typesch, Fäll presentéieren, wou d'Prinzipien vum statesche Routing, Paketfilterung an Netzwierkadress Iwwersetzung an d'Spill kommen.

Notéiert w.e.g. datt mir se net an Déift ofdecken, mä dës Inhalter éischter esou organiséieren datt et hëllefräich ass fir déi éischt Schrëtt ze huelen an vun do aus ze bauen.

Statesch Routing am Red Hat Enterprise Linux 7

Ee vun de Wonner vum modernen Netzwierk ass déi grouss Disponibilitéit vun Apparater, déi Gruppe vu Computere verbannen kënnen, sief et a relativ klengen Zuelen a limitéiert op een eenzegen Zëmmer oder e puer Maschinnen am selwechte Gebai, Stad, Land oder iwwer Kontinenter.

Wéi och ëmmer, fir dëst an all Situatioun effektiv z'erreechen, mussen Netzwierkpakete geréckelt ginn, oder an anere Wierder, de Wee, dee se vu Quell zu Destinatioun verfollegen, muss iergendwéi regéiert ginn.

Statesch Routing ass de Prozess fir e Wee fir Netzwierkpakete ze spezifizéieren anescht wéi de Standard, deen vun engem Netzwierkapparat bekannt als Standardpaart geliwwert gëtt. Wann net anescht uginn duerch statesch Routing, ginn Netzwierkpakete op d'Standardpaart geleet; mat statesche Routing ginn aner Weeër definéiert op Basis vu virdefinéierte Critèren, wéi zum Beispill d'Paketdestinatioun.

Loosst eis de folgende Szenario fir dësen Tutorial definéieren. Mir hunn eng Red Hat Enterprise Linux 7 Box déi mam Router #1 verbënnt [192.168.0.1] fir Zougang zum Internet a Maschinnen am 192.168.0.0/24.

En zweete Router (Router #2) huet zwou Netzwierkkaarten: enp0s3 ass och mam Router #1 verbonne fir Zougang zum Internet a fir mat der RHEL 7 Box an aner Maschinnen am selwechte Netz ze kommunizéieren, wärend déi aner (enp0s8) benotzt gëtt Zougang zum 10.0.0.0/24 Netz ze ginn, wou intern Servicer wunnen, wéi e Web- an/oder Datebankserver.

Dëst Szenario ass am Diagramm hei ënnen illustréiert:

An dësem Artikel konzentréiere mir eis exklusiv op d'Opstellung vun der Routing-Table op eiser RHEL 7 Këscht fir sécherzestellen datt et souwuel op den Internet iwwer Router #1 an dat internt Netzwierk iwwer Router #2 kënnt.

Am RHEL 7 benotzt Dir den ip Kommando fir Apparater a Routing mat der Kommandozeil ze konfiguréieren an ze weisen. Dës Ännerungen kënnen direkt op engem lafende System a Kraaft trieden, awer well se net persistent sinn iwwer Neistarten, benotze mir ifcfg-enp0sX a route-enp0sX Dateien bannent /etc/sysconfig/network-scripts fir eis Konfiguratioun permanent ze späicheren.

Fir unzefänken, drécke mir eis aktuell Routingtabelle aus:

# ip route show

Vun der Ausgab hei uewen kënne mir déi folgend Fakten gesinn:

  1. D'IP Adress vum Standard Gateway ass 192.168.0.1 a kann iwwer den enp0s3 NIC zougänglech sinn.
  2. Wann de System opgestart huet, huet en den Zeroconf Wee op 169.254.0.0/16 aktivéiert (just am Fall). An e puer Wierder, wann eng Maschinn agestallt ass fir eng IP Adress duerch DHCP ze kréien, awer aus irgendege Grënn net fäerdeg ass, gëtt se automatesch eng Adress an dësem Netz zougewisen. Bottom Line ass, dëse Wee erlaabt eis ze kommunizéieren, och iwwer enp0s3, mat anere Maschinnen, déi et net fäerdeg bruecht hunn eng IP Adress vun engem DHCP Server ze kréien.
  3. Last, awer net zulescht, kënne mir mat anere Këschte am 192.168.0.0/24 Netzwierk iwwer enp0s3 kommunizéieren, deem seng IP Adress 192.168.0.18 ass.

Dëst sinn déi typesch Aufgaben déi Dir an esou engem Kader maache musst. Wann net anescht uginn, sollten déi folgend Aufgaben am Router #2 ausgefouert ginn:

Vergewëssert Iech datt all NICs richteg installéiert sinn:

# ip link show

Wann ee vun hinnen erof ass, bréngt et erop:

# ip link set dev enp0s8 up

a gitt eng IP Adress am 10.0.0.0/24 Netz un:

# ip addr add 10.0.0.17 dev enp0s8

Oops! Mir hunn e Feeler an der IP Adress gemaach. Mir mussen deen ewechhuelen dee mir virdru zougewisen hunn an dann dee richtege addéieren (10.0.0.18):

# ip addr del 10.0.0.17 dev enp0s8
# ip addr add 10.0.0.18 dev enp0s8

Elo, notéiert w.e.g. datt Dir nëmmen e Wee zu engem Destinatiounsnetz duerch e Paart addéiere kënnt, dee selwer scho erreechbar ass. Aus deem Grond musse mir eng IP Adress am 192.168.0.0/24 Beräich un enp0s3 zouginn fir datt eis RHEL 7 Këscht domat kommunizéiere kann:

# ip addr add 192.168.0.19 dev enp0s3

Endlech musse mir Paket Forwarding aktivéieren:

# echo "1" > /proc/sys/net/ipv4/ip_forward

a stoppen/auszeschalten (just fir de Moment - bis mir de Paketfilter am nächsten Artikel ofdecken) d'Firewall:

# systemctl stop firewalld
# systemctl disable firewalld

Zréck an eiser RHEL 7 Këscht (192.168.0.18), loosst eis e Wee op 10.0.0.0/24 duerch 192.168.0.19 konfiguréieren (enp0s3 am Router #2):

# ip route add 10.0.0.0/24 via 192.168.0.19

Duerno gesäit d'Routing Tabelle wéi follegt aus:

# ip route show

Füügt och déi entspriechend Streck an der Maschinn (en) déi Dir probéiert an 10.0.0.0/24 z'erreechen:

# ip route add 192.168.0.0/24 via 10.0.0.18

Dir kënnt fir Basis Konnektivitéit testen mat Ping:

An der RHEL 7 Këscht, lafen

# ping -c 4 10.0.0.20

wou 10.0.0.20 d'IP Adress vun engem Webserver am 10.0.0.0/24 Netz ass.

Am Webserver (10.0.0.20), lafen

# ping -c 192.168.0.18

wou 192.168.0.18 ass, wéi Dir Iech erënnert, d'IP Adress vun eiser RHEL 7 Maschinn.

Alternativ kënne mir tcpdump benotzen (Dir musst et vläicht mat yum installéieren tcpdump installéieren) fir d'2-Wee Kommunikatioun iwwer TCP tëscht eiser RHEL 7 Këscht an dem Webserver um 10.0.0.20 ze kontrolléieren.

Fir dat ze maachen, loosst eis de Logbuch an der éischter Maschinn starten mat:

# tcpdump -qnnvvv -i enp0s3 host 10.0.0.20

a vun engem aneren Terminal am selwechte System loosst eis Telnet op den Port 80 am Webserver (ugeholl datt Apache op deem Hafen lauschtert; soss gitt de richtege Port am folgendem Kommando un):

# telnet 10.0.0.20 80

Den tcpdump Log soll esou ausgesinn:

Wou d'Verbindung richteg initialiséiert gouf, wéi mir kënne soen andeems Dir d'2-Wee Kommunikatioun tëscht eiser RHEL 7 Këscht (192.168.0.18) an dem Webserver (10.0.0.20) kuckt.

Denkt drun datt dës Ännerunge verschwannen wann Dir de System nei start. Wann Dir se persistent maache wëllt, musst Dir déi folgend Dateien änneren (oder erstellen, wa se net scho existéieren), an de selwechte Systemer wou mir déi uewe genannte Kommandoen gemaach hunn.

Och wann net strikt néideg fir eisen Testfall, sollt Dir wëssen datt /etc/sysconfig/network systembreet Netzwierkparameter enthält. En typesche /etc/sysconfig/network gesäit esou aus:

# Enable networking on this system?
NETWORKING=yes
# Hostname. Should match the value in /etc/hostname
HOSTNAME=yourhostnamehere
# Default gateway
GATEWAY=XXX.XXX.XXX.XXX
# Device used to connect to default gateway. Replace X with the appropriate number.
GATEWAYDEV=enp0sX

Wann et drëm geet spezifesch Variablen a Wäerter fir all NIC ze setzen (wéi mir fir Router #2 gemaach hunn), musst Dir /etc/sysconfig/network-scripts/ifcfg-enp0s3 an /etc/sysconfig/network-scripts/ifcfg änneren -enp0s8.

No eisem Fall,

TYPE=Ethernet
BOOTPROTO=static
IPADDR=192.168.0.19
NETMASK=255.255.255.0
GATEWAY=192.168.0.1
NAME=enp0s3
ONBOOT=yes

an

TYPE=Ethernet
BOOTPROTO=static
IPADDR=10.0.0.18
NETMASK=255.255.255.0
GATEWAY=10.0.0.1
NAME=enp0s8
ONBOOT=yes

fir enp0s3 an enp0s8, respektiv.

Wat d'Routing an eiser Clientmaschinn ugeet (192.168.0.18), musse mir /etc/sysconfig/network-scripts/route-enp0s3 änneren:

10.0.0.0/24 via 192.168.0.19 dev enp0s3

Elo restart Äre System an Dir sollt dës Streck an Ärer Tabell gesinn.

Resumé

An dësem Artikel hu mir d'Essenzë vu statesche Routing am Red Hat Enterprise Linux iwwerdeckt 7. Obwuel Szenarie kënne variéieren, illustréiert de Fall hei presentéiert déi erfuerderlech Prinzipien an d'Prozedure fir dës Aufgab ze maachen. Ier Dir ofschléisst, géif ech Iech proposéiere fir e Bléck op Kapitel 4 vun der Sektioun Sécheren an Optimiséieren Linux op der Linux Documentation Project Site fir weider Detailer iwwer d'Themen hei ofgedeckt.

Gratis eBook iwwer Sécheren & Optimiséieren Linux: D'Hacking Solution (v.3.0) - Dëst 800+ eBook enthält eng ëmfaassend Sammlung vu Linux Sécherheetstips a wéi se se sécher an einfach benotze fir Linux-baséiert Uwendungen a Servicer ze konfiguréieren.

Am nächsten Artikel schwätze mir iwwer Paketfilter an Netzwierkadress Iwwersetzung fir d'Netzwierk Basisfäegkeeten ze summéieren déi néideg sinn fir d'RHCE Zertifizéierung.

Wéi ëmmer freeën mir eis vun Iech ze héieren, also fillt Iech gratis Är Froen, Kommentaren a Virschléi mat dem Formulaire hei drënner ze hannerloossen.