Kif Twettaq Iffiltrar tal-Pakketti, Traduzzjoni tal-Indirizzi tan-Netwerk u Issettja l-Parametri Runtime tal-kernel - Parti 2

Kif imwiegħed fil-Parti 1 (Setup Static Network Routing), f'dan l-artikolu (Parti 2 tas-serje RHCE) se nibdew billi nintroduċu l-prinċipji tal-filtrazzjoni tal-pakketti u t-traduzzjoni tal-indirizz tan-netwerk (NAT) fir-Red Hat Enterprise Linux 7, qabel għadis fl-issettjar tal-parametri tal-kernel tar-runtime biex jimmodifika l-imġieba ta 'kernel li jaħdem jekk jinbidlu ċerti kundizzjonijiet jew jinqalgħu ħtiġijiet.

Iffiltrar tal-Pakketti tan-Netwerk f'RHEL 7

Meta nitkellmu dwar l-iffiltrar tal-pakketti, nirreferu għal proċess imwettaq minn firewall li fih jaqra l-header ta 'kull pakkett tad-dejta li jipprova jgħaddi minnu. Imbagħad, tiffiltra l-pakkett billi tieħu l-azzjoni meħtieġa bbażata fuq regoli li ġew definiti qabel mill-amministratur tas-sistema.

Kif probabilment taf, li tibda b'RHEL 7, is-servizz default li jamministra r-regoli tal-firewall huwa firewalld. Bħal iptables, titkellem mal-modulu netfilter fil-kernel tal-Linux sabiex teżamina u timmanipula pakketti tan-netwerk. B'differenza iptables, l-aġġornamenti jistgħu jidħlu fis-seħħ immedjatament mingħajr ma jinterrompu l-konnessjonijiet attivi - lanqas ma jkollok għalfejn terġa 'tibda s-servizz.

Vantaġġ ieħor ta 'firewalld huwa li jippermettilna niddefinixxu regoli bbażati fuq ismijiet ta' servizzi kkonfigurati minn qabel (aktar dwar dan f'minuta).

Fil-Parti 1, użajna x-xenarju li ġej:

Madankollu, tiftakar li aħna ddiżattivajna l-firewall fuq ir-router #2 biex nissimplifikaw l-eżempju peress li għadna ma koprejniex l-iffiltrar tal-pakketti. Ejja naraw issa kif nistgħu nippermettu pakketti deħlin destinati għal servizz jew port speċifiku fid-destinazzjoni.

L-ewwel, ejja nżidu regola permanenti biex tippermetti traffiku deħlin f'enp0s3 (192.168.0.19) għal enp0s8 (10.0.0.18):

# firewall-cmd --permanent --direct --add-rule ipv4 filter FORWARD 0 -i enp0s3 -o enp0s8 -j ACCEPT

Il-kmand ta' hawn fuq se jsalva r-regola f'/etc/firewalld/direct.xml:

# cat /etc/firewalld/direct.xml

Imbagħad ippermetti li r-regola tidħol fis-seħħ immedjatament:

# firewall-cmd --direct --add-rule ipv4 filter FORWARD 0 -i enp0s3 -o enp0s8 -j ACCEPT

Issa tista 'telnet lis-server tal-web mill-kaxxa RHEL 7 u tħaddem tcpdump mill-ġdid biex tissorvelja t-traffiku TCP bejn iż-żewġ magni, din id-darba bil-firewall fir-router #2 attivat.

# telnet 10.0.0.20 80
# tcpdump -qnnvvv -i enp0s3 host 10.0.0.20

X'jiġri jekk trid tippermetti biss konnessjonijiet deħlin għas-server tal-web (port 80) minn 192.168.0.18 u timblokka konnessjonijiet minn sorsi oħra fin-netwerk 192.168.0.0/24?

Fil-firewall tas-server tal-web, żid ir-regoli li ġejjin:

# firewall-cmd --add-rich-rule 'rule family="ipv4" source address="192.168.0.18/24" service name="http" accept'
# firewall-cmd --add-rich-rule 'rule family="ipv4" source address="192.168.0.18/24" service name="http" accept' --permanent
# firewall-cmd --add-rich-rule 'rule family="ipv4" source address="192.168.0.0/24" service name="http" drop'
# firewall-cmd --add-rich-rule 'rule family="ipv4" source address="192.168.0.0/24" service name="http" drop' --permanent

Issa tista 'tagħmel talbiet HTTP lis-server tal-web, minn 192.168.0.18 u minn xi magna oħra f'192.168.0.0/24. Fl-ewwel każ il-konnessjoni għandha titlesta b'suċċess, filwaqt li fit-tieni eventwalment se tispiċċa.

Biex tagħmel dan, kwalunkwe mill-kmandi li ġejjin se jagħmlu l-trick:

# telnet 10.0.0.20 80
# wget 10.0.0.20

Nagħtikom parir bil-qawwa biex tiċċekkja d-dokumentazzjoni tal-Firewalld Rich Language fil-Wiki tal-Proġett Fedora għal aktar dettalji dwar regoli sinjuri.

Traduzzjoni ta' l-Indirizz tan-Netwerk f'RHEL 7

Netwerk Address Translation (NAT) huwa l-proċess fejn grupp ta 'kompjuters (jista' wkoll ikun wieħed minnhom biss) f'netwerk privat huma assenjati indirizz IP pubbliku uniku. Bħala riżultat, għadhom identifikati b'mod uniku bl-indirizz IP privat tagħhom stess ġewwa n-netwerk iżda għal barra huma kollha jidhru l-istess.