![Πώς να εγγραφείτε και να ενεργοποιήσετε τη συνδρομή, τα αποθετήρια και τις ενημερώσεις Red Hat για διακομιστή RHEL 7.0](/f/407ff81500e3fb05a7f81813a1478a7b.png?width=100&height=100)
Όπως υποσχέθηκε στο Μέρος 1 (“Ρύθμιση δρομολόγησης στατικού δικτύου"), σε αυτό το άρθρο (Μέρος 2ο του RHCE σειρά) θα ξεκινήσουμε εισάγοντας τις αρχές του φιλτραρίσματος πακέτων και της μετάφρασης διευθύνσεων δικτύου (NAT) στο Red Hat Enterprise Linux 7, πριν ξεκινήσετε να ρυθμίζετε τις παραμέτρους του πυρήνα χρόνου εκτέλεσης για να τροποποιήσετε τη συμπεριφορά ενός πυρήνα που εκτελείται εάν αλλάξουν ορισμένες συνθήκες ή προκύψουν ανάγκες.
Όταν μιλάμε για φιλτράρισμα πακέτων, αναφερόμαστε σε μια διαδικασία που εκτελείται από ένα τείχος προστασίας στην οποία διαβάζει την κεφαλίδα κάθε πακέτου δεδομένων που επιχειρεί να περάσει από αυτό. Στη συνέχεια, φιλτράρει το πακέτο πραγματοποιώντας την απαιτούμενη ενέργεια με βάση κανόνες που έχουν καθοριστεί προηγουμένως από το διαχειριστή του συστήματος.
Όπως ίσως γνωρίζετε, ξεκινώντας από RHEL 7, η προεπιλεγμένη υπηρεσία που διαχειρίζεται τους κανόνες τείχους προστασίας είναι
firewalld. Όπως και το iptables, μιλά με τη μονάδα netfilter στον πυρήνα Linux για να εξετάσει και να χειριστεί πακέτα δικτύου. Σε αντίθεση με το iptables, οι ενημερώσεις μπορούν να ισχύσουν αμέσως χωρίς διακοπή ενεργών συνδέσεων - δεν χρειάζεται καν να κάνετε επανεκκίνηση της υπηρεσίας.Ένα άλλο πλεονέκτημα του firewalld είναι ότι μας επιτρέπει να ορίσουμε κανόνες βάσει προκαθορισμένων ονομάτων υπηρεσιών (περισσότερα σε ένα λεπτό).
Σε Μέρος 1, χρησιμοποιήσαμε το ακόλουθο σενάριο:
Ωστόσο, θα θυμάστε ότι απενεργοποιήσαμε το τείχος προστασίας δρομολογητή #2 για να απλοποιήσουμε το παράδειγμα αφού δεν είχαμε καλύψει ακόμα το φιλτράρισμα πακέτων. Ας δούμε τώρα πώς μπορούμε να ενεργοποιήσουμε τα εισερχόμενα πακέτα που προορίζονται για μια συγκεκριμένη υπηρεσία ή θύρα στον προορισμό.
Πρώτον, ας προσθέσουμε έναν μόνιμο κανόνα που επιτρέπει την εισερχόμενη κίνηση enp0s3 (192.168.0.19) προς το enp0s8 (10.0.0.18):
# firewall -cmd --mermanent --direct --add -rule ipv4 φίλτρο ΜΠΡΟΣΤΑ 0 -i enp0s3 -o enp0s8 -j ΑΠΟΔΟΧΗ.
Η παραπάνω εντολή θα αποθηκεύσει τον κανόνα σε /etc/firewalld/direct.xml:
# cat /etc/firewalld/direct.xml.
Στη συνέχεια, ενεργοποιήστε τον κανόνα για να τεθεί σε ισχύ αμέσως:
# firewall -cmd --direct --add -rule ipv4 φίλτρο ΜΠΡΟΣΤΑ 0 -i enp0s3 -o enp0s8 -j ACCEPT.
Τώρα μπορείτε να telnet στον διακομιστή ιστού από το RHEL 7 κουτί και τρέξτε tcpdump και πάλι για την παρακολούθηση της κίνησης TCP μεταξύ των δύο μηχανών, αυτή τη φορά με το τείχος προστασίας μέσα δρομολογητή #2 ενεργοποιημένο.
# telnet 10.0.0.20 80. # tcpdump -qnnvvv -i enp0s3 host 10.0.0.20.
Τι γίνεται αν θέλετε να επιτρέψετε μόνο εισερχόμενες συνδέσεις στον διακομιστή ιστού (θύρα 80) από 192.168.0.18 και να αποκλείσετε συνδέσεις από άλλες πηγές στο 192.168.0.0/24 δίκτυο?
Στο τείχος προστασίας του διακομιστή ιστού, προσθέστε τους ακόλουθους κανόνες:
# firewall-cmd --add-rich-rule 'rule family = "ipv4" source address = "192.168.0.18/24" service name = "http" accept' # firewall-cmd --add-rich-rule 'rule family = "ipv4" source address = "192.168.0.18/24" service name = "http" accept' --permanent. # firewall-cmd --add-rich-rule 'rule family = "ipv4" source source = "192.168.0.0/24" service name = "http" drop' # firewall-cmd --add-rich-rule 'rule family = "ipv4" source address = "192.168.0.0/24" service name = "http" drop' --permanent.
Τώρα μπορείτε να υποβάλετε αιτήματα HTTP στον διακομιστή ιστού, από 192.168.0.18 και από κάποιο άλλο μηχάνημα μέσα 192.168.0.0/24. Στην πρώτη περίπτωση η σύνδεση θα πρέπει να ολοκληρωθεί με επιτυχία, ενώ στη δεύτερη θα λήξει τελικά.
Για να γίνει αυτό, οποιαδήποτε από τις ακόλουθες εντολές θα κάνει το κόλπο:
# telnet 10.0.0.20 80. # wget 10.0.0.20.
Σας συνιστώ ανεπιφύλακτα να ελέγξετε το Πλούσια γλώσσα Firewalld τεκμηρίωση στο Fedora Project Wiki για περισσότερες λεπτομέρειες σχετικά με τους πλούσιους κανόνες.
Μετάφραση διευθύνσεων δικτύου (ΝΑΤ) είναι η διαδικασία κατά την οποία σε μια ομάδα υπολογιστών (μπορεί να είναι μόνο ένας από αυτούς) σε ένα ιδιωτικό δίκτυο εκχωρείται μια μοναδική δημόσια διεύθυνση IP. Ως αποτέλεσμα, εξακολουθούν να αναγνωρίζονται μοναδικά από τη δική τους ιδιωτική διεύθυνση IP μέσα στο δίκτυο, αλλά προς τα έξω «φαίνονται» όλοι ίδιοι.