Website-Suche

RHCE-Serie: So richten Sie statisches Netzwerkrouting ein und testen es – Teil 1

RHCE (Red Hat Certified Engineer) ist eine Zertifizierung des Unternehmens Red Hat, das der Unternehmensgemeinschaft ein Open-Source-Betriebssystem und -Software zur Verfügung stellt. Darüber hinaus bietet es Schulungen, Support usw. an Beratungsleistungen für die Unternehmen.

Bei dieser RHCE (Red Hat Certified Engineer) handelt es sich um eine leistungsbasierte Prüfung (Codename EX300), die über die zusätzlichen Fähigkeiten, Kenntnisse und Fertigkeiten verfügt Erforderlich für einen leitenden Systemadministrator, der für Red Hat Enterprise Linux (RHEL)-Systeme verantwortlich ist.

Wichtig: Für die RHCE-Zertifizierung ist eine Red Hat Certified System Administrator (RHCSA)-Zertifizierung erforderlich.

Im Folgenden sind die Prüfungsziele aufgeführt, die auf der Red Hat Enterprise Linux 7-Version der Prüfung basieren und in dieser RHCE-Reihe behandelt werden:

Um die Gebühren anzuzeigen und sich für eine Prüfung in Ihrem Land anzumelden, besuchen Sie die RHCE-Zertifizierungsseite.

In diesem Teil 1 der RHCE-Reihe und im nächsten werden wir grundlegende, aber typische Fälle vorstellen, in denen die Prinzipien des statischen Routings, der Paketfilterung und der Netzwerkadressübersetzung zum Einsatz kommen ins Spiel.

Bitte beachten Sie, dass wir diese Inhalte nicht ausführlich behandeln, sondern diese Inhalte so organisieren, dass sie Ihnen bei den ersten Schritten und dem weiteren Aufbau hilfreich sind.

Statisches Routing in Red Hat Enterprise Linux 7

Eines der Wunder moderner Netzwerke ist die enorme Verfügbarkeit von Geräten, die Gruppen von Computern verbinden können, sei es in relativ kleiner Anzahl und auf einen einzelnen Raum beschränkt, oder auf mehrere Maschinen im selben Gebäude, in der gleichen Stadt, im gleichen Land oder über Kontinente hinweg.

Um dies jedoch in jeder Situation effektiv zu erreichen, müssen Netzwerkpakete weitergeleitet werden, oder mit anderen Worten, der Weg, den sie von der Quelle zum Ziel nehmen, muss irgendwie geregelt werden.

Beim statischen Routing wird eine Route für andere Netzwerkpakete als die Standardroute angegeben, die von einem Netzwerkgerät bereitgestellt wird, das als Standard-Gateway bezeichnet wird. Sofern durch statisches Routing nicht anders angegeben, werden Netzwerkpakete an das Standard-Gateway weitergeleitet. Beim statischen Routing werden andere Pfade basierend auf vordefinierten Kriterien definiert, beispielsweise dem Paketziel.

Lassen Sie uns das folgende Szenario für dieses Tutorial definieren. Wir haben eine Red Hat Enterprise Linux 7-Box, die mit Router #1 [192.168.0.1] verbunden ist, um auf das Internet und die Maschinen in 192.168.0.0/24 zuzugreifen.

Ein zweiter Router (Router #2) verfügt über zwei Netzwerkschnittstellenkarten: enp0s3 ist ebenfalls mit Router #1 verbunden, um auf das Internet zuzugreifen und zu kommunizieren mit der RHEL 7-Box und anderen Maschinen im selben Netzwerk, während der andere (enp0s8) verwendet wird, um Zugriff auf das 10.0.0.0/24-Netzwerk zu gewähren, in dem sich interne Dienste befinden , wie zum Beispiel ein Web- und/oder Datenbankserver.

Dieses Szenario wird im folgenden Diagramm veranschaulicht:

In diesem Artikel konzentrieren wir uns ausschließlich auf die Einrichtung der Routing-Tabelle auf unserer RHEL 7-Box, um sicherzustellen, dass diese sowohl über Router Nr. 1 als auch über das interne Netzwerk auf das Internet zugreifen kann über Router #2.

In RHEL 7 verwenden Sie den Befehl ip, um Geräte und Routing über die Befehlszeile zu konfigurieren und anzuzeigen. Diese Änderungen können sofort auf einem laufenden System wirksam werden, aber da sie nicht über Neustarts hinweg bestehen bleiben, verwenden wir die Dateien ifcfg-enp0sX und route-enp0sX in /etc /sysconfig/network-scripts, um unsere Konfiguration dauerhaft zu speichern.

Drucken wir zunächst unsere aktuelle Routing-Tabelle aus:

ip route show

Aus der obigen Ausgabe können wir die folgenden Fakten erkennen:

  1. Die IP-Adresse des Standard-Gateways lautet 192.168.0.1 und kann über die Netzwerkkarte enp0s3 aufgerufen werden.
  2. Beim Hochfahren des Systems wurde die Zeroconf-Route zu 169.254.0.0/16 aktiviert (nur für den Fall). Kurz gesagt: Wenn eine Maschine so eingestellt ist, dass sie eine IP-Adresse über DHCP bezieht, dies aber aus irgendeinem Grund nicht tut, wird ihr automatisch eine Adresse in diesem Netzwerk zugewiesen. Unterm Strich ermöglicht uns diese Route, auch über enp0s3 mit anderen Maschinen zu kommunizieren, die keine IP-Adresse von einem DHCP-Server erhalten haben.
  3. Zu guter Letzt können wir über enp0s3, dessen IP-Adresse 192.168.0.18 lautet, mit anderen Boxen innerhalb des 192.168.0.0/24-Netzwerks kommunizieren >.

Dies sind die typischen Aufgaben, die Sie in einer solchen Umgebung ausführen müssten. Sofern nicht anders angegeben, sollten die folgenden Aufgaben in Router Nr. 2 ausgeführt werden:

Stellen Sie sicher, dass alle Netzwerkkarten ordnungsgemäß installiert wurden:

ip link show

Wenn einer von ihnen nicht verfügbar ist, rufen Sie ihn auf:

ip link set dev enp0s8 up

und weisen Sie ihm eine IP-Adresse im Netzwerk 10.0.0.0/24 zu:

ip addr add 10.0.0.17 dev enp0s8

Hoppla! Wir haben einen Fehler bei der IP-Adresse gemacht. Wir müssen die zuvor zugewiesene entfernen und dann die richtige hinzufügen (10.0.0.18):

ip addr del 10.0.0.17 dev enp0s8
ip addr add 10.0.0.18 dev enp0s8

Bitte beachten Sie nun, dass Sie eine Route zu einem Zielnetzwerk nur über ein Gateway hinzufügen können, das selbst bereits erreichbar ist. Aus diesem Grund müssen wir enp0s3 eine IP-Adresse im Bereich 192.168.0.0/24 zuweisen, damit unsere RHEL 7-Box mit ihr kommunizieren kann:

ip addr add 192.168.0.19 dev enp0s3

Schließlich müssen wir die Paketweiterleitung aktivieren:

echo "1" > /proc/sys/net/ipv4/ip_forward

und stoppen/deaktivieren Sie (nur für den Moment – bis wir uns im nächsten Artikel mit der Paketfilterung befassen) die Firewall:

systemctl stop firewalld
systemctl disable firewalld

Zurück in unserer RHEL 7-Box (192.168.0.18) konfigurieren wir eine Route zu 10.0.0.0/24 über 192.168.0.19 (enp0s3 in Router #2):

ip route add 10.0.0.0/24 via 192.168.0.19

Danach sieht die Routing-Tabelle wie folgt aus:

ip route show

Fügen Sie ebenfalls die entsprechende Route in den Maschinen hinzu, die Sie in 10.0.0.0/24 erreichen möchten:

ip route add 192.168.0.0/24 via 10.0.0.18

Sie können die grundlegende Konnektivität mit Ping testen:

Führen Sie im Feld RHEL 7 Folgendes aus:

ping -c 4 10.0.0.20

Dabei ist 10.0.0.20 die IP-Adresse eines Webservers im Netzwerk 10.0.0.0/24.

Führen Sie auf dem Webserver (10.0.0.20) Folgendes aus

ping -c 192.168.0.18

Dabei ist 192.168.0.18, wie Sie sich erinnern werden, die IP-Adresse unserer RHEL 7-Maschine.

Alternativ können wir tcpdump verwenden (Sie müssen es möglicherweise mit yum install tcpdump installieren), um die bidirektionale Kommunikation über TCP zwischen unserer RHEL 7-Box und dem Webserver unter 10.0.0.20 zu überprüfen .

Dazu starten wir die Protokollierung auf der ersten Maschine mit:

tcpdump -qnnvvv -i enp0s3 host 10.0.0.20

und von einem anderen Terminal im selben System telnet uns an Port 80 im Webserver (vorausgesetzt, Apache lauscht auf diesem Port; andernfalls geben Sie Folgendes an den richtigen Port im folgenden Befehl):

telnet 10.0.0.20 80

Das tcpdump-Protokoll sollte wie folgt aussehen:

Wo die Verbindung ordnungsgemäß initialisiert wurde, wie wir anhand der bidirektionalen Kommunikation zwischen unserer RHEL 7-Box (192.168.0.18) und dem Webserver (<10.0.0.20).

Bitte denken Sie daran, dass diese Änderungen verschwinden, wenn Sie das System neu starten. Wenn Sie sie dauerhaft machen möchten, müssen Sie die folgenden Dateien in denselben Systemen bearbeiten (oder erstellen, falls sie noch nicht vorhanden sind), in denen wir die oben genannten Befehle ausgeführt haben.

Obwohl dies für unseren Testfall nicht unbedingt erforderlich ist, sollten Sie wissen, dass /etc/sysconfig/network systemweite Netzwerkparameter enthält. Ein typisches /etc/sysconfig/network sieht wie folgt aus:

Enable networking on this system?
NETWORKING=yes
Hostname. Should match the value in /etc/hostname
HOSTNAME=yourhostnamehere
Default gateway
GATEWAY=XXX.XXX.XXX.XXX
Device used to connect to default gateway. Replace X with the appropriate number.
GATEWAYDEV=enp0sX

Wenn es darum geht, spezifische Variablen und Werte für jede Netzwerkkarte festzulegen (wie wir es für Router Nr. 2 getan haben), müssen Sie /etc/sysconfig/network-scripts/ifcfg-enp0s3 und bearbeiten /etc/sysconfig/network-scripts/ifcfg-enp0s8.

Im Anschluss an unseren Fall,

TYPE=Ethernet
BOOTPROTO=static
IPADDR=192.168.0.19
NETMASK=255.255.255.0
GATEWAY=192.168.0.1
NAME=enp0s3
ONBOOT=yes

Und

TYPE=Ethernet
BOOTPROTO=static
IPADDR=10.0.0.18
NETMASK=255.255.255.0
GATEWAY=10.0.0.1
NAME=enp0s8
ONBOOT=yes

für enp0s3 bzw. enp0s8.

Was das Routing auf unserem Client-Computer (192.168.0.18) betrifft, müssen wir /etc/sysconfig/network-scripts/route-enp0s3: bearbeiten

10.0.0.0/24 via 192.168.0.19 dev enp0s3

Starten Sie nun Ihr System neu und Sie sollten diese Route in Ihrer Tabelle sehen.

Zusammenfassung

In diesem Artikel haben wir die Grundlagen des statischen Routings in Red Hat Enterprise Linux 7 behandelt. Obwohl die Szenarien variieren können, veranschaulicht der hier dargestellte Fall die erforderlichen Prinzipien und Verfahren zur Durchführung dieser Aufgabe. Bevor ich zum Abschluss komme, möchte ich Ihnen empfehlen, einen Blick auf Kapitel 4 des Abschnitts Linux sichern und optimieren auf der Website des Linux Documentation Project zu werfen, um weitere Einzelheiten zu den hier behandelten Themen zu erfahren.

Kostenloses E-Book zum Thema Securing & Optimizing Linux: The Hacking Solution (v.3.0) – Dieses über 800 E-Book enthält eine umfassende Sammlung von Linux-Sicherheitstipps und deren sichere und einfache Verwendung um Linux-basierte Anwendungen und Dienste zu konfigurieren.

Jetzt downloaden

Im nächsten Artikel werden wir über Paketfilterung und Netzwerkadressübersetzung sprechen, um die für die RHCE-Zertifizierung erforderlichen Netzwerk-Grundkenntnisse zusammenzufassen.

Wie immer freuen wir uns darauf, von Ihnen zu hören. Sie können uns also gerne Ihre Fragen, Kommentare und Vorschläge über das untenstehende Formular hinterlassen.