RHCE Serisi: Statik Ağ Yönlendirmesi Nasıl Kurulur ve Test Edilir - Bölüm 1
RHCE (Red Hat Sertifikalı Mühendis), Red Hat şirketinin kurumsal topluluğa açık kaynak işletim sistemi ve yazılımı sağlayan bir sertifikasıdır. Ayrıca eğitim, destek ve şirketlere danışmanlık hizmetleri.
Bu RHCE (Red Hat Sertifikalı Mühendis), ek beceri, bilgi ve yeteneklere sahip olan performansa dayalı bir sınavdır (kod adı EX300) Red Hat Enterprise Linux (RHEL) sistemlerinden sorumlu kıdemli bir sistem yöneticisi için gereklidir.
Önemli: RHCE sertifikası kazanmak için Red Hat Sertifikalı Sistem Yöneticisi (RHCSA) sertifikası gereklidir.
Bu RHCE serisinde ele alınacak olan sınavın Red Hat Enterprise Linux 7 sürümünü temel alan sınav hedefleri aşağıda verilmiştir:
Ücretleri görüntülemek ve ülkenizdeki bir sınava kaydolmak için RHCE Sertifikasyonu sayfasını kontrol edin.
RHCE serisinin bu 1. Bölümünde ve bir sonraki bölümde, statik yönlendirme, paket filtreleme ve ağ adresi çevirisi ilkelerinin ortaya çıktığı temel ancak tipik durumları sunacağız. oyuna giriyor.
Lütfen bunları derinlemesine ele almayacağımızı, bunun yerine bu içerikleri ilk adımları atmaya ve oradan inşa etmeye yardımcı olacak şekilde düzenleyeceğimizi unutmayın.
Red Hat Enterprise Linux 7'de Statik Yönlendirme
Modern ağ oluşturmanın harikalarından biri, ister nispeten az sayıda olsun ve tek bir odayla sınırlı olsun, ister aynı binada, şehirde, ülkede veya kıtalar arasında birden fazla makineyle sınırlı olsun, bilgisayar gruplarını birbirine bağlayabilen cihazların geniş kullanılabilirliğidir.
Ancak bunu her durumda etkin bir şekilde gerçekleştirebilmek için ağ paketlerinin yönlendirilmesi, yani kaynaktan hedefe kadar izledikleri yolun bir şekilde yönetilmesi gerekir.
Statik yönlendirme, varsayılan ağ geçidi olarak bilinen bir ağ cihazı tarafından sağlanan, varsayılan dışındaki ağ paketleri için bir rota belirleme işlemidir. Statik yönlendirme aracılığıyla aksi belirtilmediği sürece ağ paketleri varsayılan ağ geçidine yönlendirilir; Statik yönlendirmede diğer yollar, paket hedefi gibi önceden tanımlanmış kriterlere göre tanımlanır.
Bu eğitim için aşağıdaki senaryoyu tanımlayalım. 192.168.0.0/24'te internete ve makinelere erişmek için #1 [192.168.0.1] yönlendiricisine bağlanan bir Red Hat Enterprise Linux 7 kutumuz var.
İkinci bir yönlendirici (yönlendirici #2) iki ağ arayüz kartına sahiptir: enp0s3 ayrıca İnternet'e erişmek ve iletişim kurmak için yönlendirici #1'e de bağlıdır. RHEL 7 kutusu ve aynı ağdaki diğer makinelerle, diğeri (enp0s8) dahili hizmetlerin bulunduğu 10.0.0.0/24 ağına erişim vermek için kullanılır bir web ve/veya veritabanı sunucusu gibi.
Bu senaryo aşağıdaki şemada gösterilmektedir:
Bu makalede, hem 1 numaralı yönlendirici üzerinden hem de dahili ağ üzerinden İnternet'e erişebildiğinden emin olmak için RHEL 7 kutumuzdaki yönlendirme tablosunu kurmaya odaklanacağız. yönlendirici #2 aracılığıyla.
RHEL 7'de, komut satırını kullanarak cihazları ve yönlendirmeyi yapılandırmak ve göstermek için ip komutunu kullanacaksınız. Bu değişiklikler çalışan bir sistemde hemen etkili olabilir, ancak yeniden başlatmalarda kalıcı olmadıkları için /etc içindeki ifcfg-enp0sX ve route-enp0sX dosyalarını kullanacağız. Yapılandırmamızı kalıcı olarak kaydetmek için /sysconfig/network-scripts.
Başlamak için mevcut yönlendirme tablomuzu yazdıralım:
ip route show
Yukarıdaki çıktıdan aşağıdaki gerçekleri görebiliriz:
- Varsayılan ağ geçidinin IP adresi 192.168.0.1'dir ve enp0s3 NIC aracılığıyla erişilebilir.
- Sistem başlatıldığında, (her ihtimale karşı) 169.254.0.0/16'ya sıfır bağlantı yolunu etkinleştirdi. Kısaca söylemek gerekirse, bir makine DHCP yoluyla IP adresi almaya ayarlanmışsa ancak herhangi bir nedenden dolayı bunu başaramazsa, bu ağda kendisine otomatik olarak bir adres atanır. Sonuç olarak, bu rota, DHCP sunucusundan IP adresi alamayan diğer makinelerle enp0s3 aracılığıyla da iletişim kurmamıza olanak tanıyacak.
- Son olarak, IP adresi 192.168.0.18olan enp0s3 aracılığıyla 192.168.0.0/24 ağı içindeki diğer kutularla iletişim kurabiliriz. >.
Bunlar böyle bir ortamda gerçekleştirmeniz gereken tipik görevlerdir. Aksi belirtilmediği sürece yönlendirici #2'de aşağıdaki görevler gerçekleştirilmelidir:
Tüm NIC'lerin doğru şekilde takıldığından emin olun:
ip link show
Bunlardan biri aşağıdaysa yukarı kaldırın:
ip link set dev enp0s8 up
ve ona 10.0.0.0/24 ağındaki bir IP adresi atayın:
ip addr add 10.0.0.17 dev enp0s8
Hata! IP adresinde hata yaptık. Daha önce atadığımızı kaldırıp ardından doğru olanı eklememiz gerekecek (10.0.0.18):
ip addr del 10.0.0.17 dev enp0s8
ip addr add 10.0.0.18 dev enp0s8
Şimdi, hedef ağa yalnızca halihazırda erişilebilir olan bir ağ geçidi üzerinden rota ekleyebileceğinizi lütfen unutmayın. Bu nedenle RHEL 7 kutumuzun iletişim kurabilmesi için 192.168.0.0/24 aralığında bir IP adresini enp0s3'e atamamız gerekiyor:
ip addr add 192.168.0.19 dev enp0s3
Son olarak paket iletmeyi etkinleştirmemiz gerekecek:
echo "1" > /proc/sys/net/ipv4/ip_forward
ve güvenlik duvarını durdurun/devre dışı bırakın (şimdilik – bir sonraki makalede paket filtrelemeyi ele alana kadar):
systemctl stop firewalld
systemctl disable firewalld
RHEL 7 kutumuza (192.168.0.18) döndüğümüzde, 10.0.0.0/24'e ve 192.168.0.19'a kadar bir rota yapılandıralım. (yönlendirici #2'de enp0s3):
ip route add 10.0.0.0/24 via 192.168.0.19
Bundan sonra yönlendirme tablosu aşağıdaki gibi görünür:
ip route show
Benzer şekilde, 10.0.0.0/24'te ulaşmaya çalıştığınız makinelere ilgili rotayı ekleyin:
ip route add 192.168.0.0/24 via 10.0.0.18
ping kullanarak temel bağlantıyı test edebilirsiniz:
RHEL 7 kutusunda şunu çalıştırın:
ping -c 4 10.0.0.20
burada 10.0.0.20, 10.0.0.0/24 ağındaki bir web sunucusunun IP adresidir.
Web sunucusunda (10.0.0.20) şunu çalıştırın:
ping -c 192.168.0.18
burada 192.168.0.18, hatırlayacağınız gibi RHEL 7 makinemizin IP adresidir.
Alternatif olarak, RHEL 7 kutumuz ile 10.0.0.20 adresindeki web sunucusu arasındaki TCP üzerinden 2 yönlü iletişimi kontrol etmek için tcpdump'ı kullanabiliriz (yum install tcpdump ile yüklemeniz gerekebilir) .
Bunu yapmak için ilk makinede oturum açmaya şununla başlayalım:
tcpdump -qnnvvv -i enp0s3 host 10.0.0.20
ve aynı sistemdeki başka bir terminalden web sunucusundaki 80 numaralı bağlantı noktasına telnet edelim (Apache'in bu bağlantı noktasını dinlediğini varsayarak; aksi takdirde şunu belirtin) aşağıdaki komutta doğru bağlantı noktası):
telnet 10.0.0.20 80
tcpdump günlüğü aşağıdaki gibi görünmelidir:
RHEL 7 kutumuz (192.168.0.18) ile web sunucusu (192.168.0.18) arasındaki 2 yönlü iletişime bakarak bağlantının doğru şekilde başlatıldığı yeri anlayabiliriz. güçlü>10.0.0.20).
Sistemi yeniden başlattığınızda bu değişikliklerin ortadan kalkacağını lütfen unutmayın. Bunları kalıcı kılmak istiyorsanız, aşağıdaki dosyaları yukarıdaki komutları uyguladığımız sistemlerde düzenlemeniz (veya zaten mevcut değillerse oluşturmanız) gerekecektir.
Test durumumuz için kesinlikle gerekli olmasa da /etc/sysconfig/network dosyasının sistem çapında ağ parametreleri içerdiğini bilmelisiniz. Tipik bir /etc/sysconfig/network aşağıdaki gibi görünür:
Enable networking on this system?
NETWORKING=yes
Hostname. Should match the value in /etc/hostname
HOSTNAME=yourhostnamehere
Default gateway
GATEWAY=XXX.XXX.XXX.XXX
Device used to connect to default gateway. Replace X with the appropriate number.
GATEWAYDEV=enp0sX
Her bir NIC için belirli değişkenleri ve değerleri ayarlamaya gelince (yönlendirici #2 için yaptığımız gibi), /etc/sysconfig/network-scripts/ifcfg-enp0s3 ve 'yi düzenlemeniz gerekecektir. /etc/sysconfig/network-scripts/ifcfg-enp0s8.
Bizim vakamızı takiben,
TYPE=Ethernet
BOOTPROTO=static
IPADDR=192.168.0.19
NETMASK=255.255.255.0
GATEWAY=192.168.0.1
NAME=enp0s3
ONBOOT=yes
Ve
TYPE=Ethernet
BOOTPROTO=static
IPADDR=10.0.0.18
NETMASK=255.255.255.0
GATEWAY=10.0.0.1
NAME=enp0s8
ONBOOT=yes
sırasıyla enp0s3 ve enp0s8 için.
İstemci makinemizdeki (192.168.0.18) yönlendirmeye gelince, /etc/sysconfig/network-scripts/route-enp0s3'ü düzenlememiz gerekecek:
10.0.0.0/24 via 192.168.0.19 dev enp0s3
Şimdi sisteminizi yeniden başlatın; bu rotayı tablonuzda görmelisiniz.
Özet
Bu makalede Red Hat Enterprise Linux 7'de statik yönlendirmenin temellerini ele aldık. Senaryolar farklılık gösterse de burada sunulan örnek olay, bu görevi gerçekleştirmek için gereken ilkeleri ve prosedürleri göstermektedir. Bitirmeden önce, burada ele alınan konularla ilgili daha fazla ayrıntı için Linux Belgelendirme Projesi sitesindeki Linux'un Güvenliğini Sağlama ve Optimize Etme bölümünün 4. Bölümüne göz atmanızı öneririm.
Linux'un Güvenliğini Sağlama ve Optimize Etme: Hacking Çözümü (v.3.0) hakkında ücretsiz e-kitap – Bu 800'den fazla e-Kitap, kapsamlı bir Linux güvenlik ipuçları koleksiyonu ve bunların güvenli ve kolay bir şekilde nasıl kullanılacağını içerir Linux tabanlı uygulamaları ve hizmetleri yapılandırmak için.
Şimdi İndirin
Bir sonraki makalede, RHCE sertifikası için gerekli ağ oluşturma temel becerilerini özetlemek amacıyla paket filtreleme ve ağ adresi çevirisi hakkında konuşacağız.
Her zaman olduğu gibi sizden haber almayı sabırsızlıkla bekliyoruz; bu nedenle aşağıdaki formu kullanarak sorularınızı, yorumlarınızı ve önerilerinizi bırakmaktan çekinmeyin.