Wéi Dir Packet Filtering, Network Adress Iwwersetzung ausféiert a Kernel Runtime Parameteren setzen - Deel 2


Wéi versprach am Deel 1 (Setup Static Network Routing), an dësem Artikel (Deel 2 vun der RHCE Serie) fänken mir un d'Prinzipien vum Paketfilter an d'Netzwierkadress Iwwersetzung (NAT) an Red Hat Enterprise Linux 7 vir. daucht an d'Astellung vun Runtime Kernel Parameteren fir d'Behuele vun engem Lafen Kernel z'änneren wa verschidde Bedéngungen änneren oder Bedierfnesser entstoen.

Network Packet Filtering an RHEL 7

Wa mir iwwer Paketfilter schwätzen, bezéie mir op e Prozess, dee vun enger Firewall ausgefouert gëtt, an där et den Header vun all Datepaket liest, dee probéiert et duerchzegoen. Duerno filtert et de Paket andeems Dir déi erfuerderlech Handlung hëlt baséiert op Reegelen déi virdru vum Systemadministrator definéiert goufen.

Wéi Dir wahrscheinlech wësst, ugefaange mat RHEL 7, ass den Default Service deen d'Firewall Regelen geréiert Firewalld. Wéi iptables schwätzt et mam Netfiltermodul am Linux Kernel fir Netzwierkpakete z'ënnersichen an ze manipuléieren. Am Géigesaz zu iptables kënnen d'Aktualiséierungen direkt a Kraaft trieden ouni aktiv Verbindungen ze ënnerbriechen - Dir musst de Service net emol nei starten.

En anere Virdeel vu Firewalld ass datt et eis erlaabt Reegelen ze definéieren baséiert op pre-konfiguréierten Servicenimm (méi doriwwer an enger Minutt).

Am Deel 1 hu mir de folgende Szenario benotzt:

Wéi och ëmmer, Dir wäert Iech drun erënneren datt mir d'Firewall um Router #2 deaktivéiert hunn fir d'Beispill ze vereinfachen well mir nach net de Paketfilter ofgedeckt hunn. Loosst eis elo kucken wéi mir erakommen Pakete kënnen aktivéiere fir e spezifesche Service oder Hafen an der Destinatioun.

Als éischt, loosst eis eng permanent Regel addéieren fir den Inbound Traffic an enp0s3 (192.168.0.19) op enp0s8 (10.0.0.18) z'erméiglechen:

# firewall-cmd --permanent --direct --add-rule ipv4 filter FORWARD 0 -i enp0s3 -o enp0s8 -j ACCEPT

Deen uewe genannte Kommando späichert d'Regel op /etc/firewalld/direct.xml:

# cat /etc/firewalld/direct.xml

Dann aktivéiert d'Regel fir datt se direkt a Kraaft trieden:

# firewall-cmd --direct --add-rule ipv4 filter FORWARD 0 -i enp0s3 -o enp0s8 -j ACCEPT

Elo kënnt Dir op de Webserver vun der RHEL 7 Këscht Telnet an tcpdump erëm lafen fir den TCP Traffic tëscht den zwou Maschinnen ze iwwerwaachen, dës Kéier mat der Firewall am Router #2 aktivéiert.

# telnet 10.0.0.20 80
# tcpdump -qnnvvv -i enp0s3 host 10.0.0.20

Wat wann Dir wëllt nëmmen Entréeën Verbindungen op de Web Server (Port 80) vun 192.168.0.18 a Spär Verbindungen vun anere Quellen am 192.168.0.0/24 Reseau wëllt?

An der Firewall vum Webserver füügt déi folgend Regelen derbäi:

# firewall-cmd --add-rich-rule 'rule family="ipv4" source address="192.168.0.18/24" service name="http" accept'
# firewall-cmd --add-rich-rule 'rule family="ipv4" source address="192.168.0.18/24" service name="http" accept' --permanent
# firewall-cmd --add-rich-rule 'rule family="ipv4" source address="192.168.0.0/24" service name="http" drop'
# firewall-cmd --add-rich-rule 'rule family="ipv4" source address="192.168.0.0/24" service name="http" drop' --permanent

Elo kënnt Dir HTTP-Ufroen un de Webserver maachen, vun 192.168.0.18 a vun enger anerer Maschinn an 192.168.0.0/24. Am éischte Fall soll d'Verbindung erfollegräich ofgeschloss ginn, wärend am zweeten et schlussendlech Timeout wäert.

Fir dat ze maachen, wäert ee vun de folgende Kommandoen den Trick maachen:

# telnet 10.0.0.20 80
# wget 10.0.0.20

Ech roden Iech staark d'Firewalld Rich Language Dokumentatioun an der Fedora Project Wiki ze kucken fir weider Detailer iwwer räich Regelen.

Network Adress Iwwersetzung an RHEL 7

Network Address Translation (NAT) ass de Prozess wou eng Grupp vu Computeren (et kann och just ee vun hinnen sinn) an engem privaten Netzwierk eng eenzegaarteg ëffentlech IP Adress zougewisen gëtt. Als Resultat gi se nach ëmmer eenzegaarteg duerch hir eege privat IP Adress am Netz identifizéiert, awer no baussen schéngen se all d'selwecht.