Bii o ṣe le Ṣiṣe Ayẹwo Packet, Itumọ Adirẹsi Nẹtiwọọki ati Ṣeto Awọn ipele asiko asiko ekuro - Apá 2

Gẹgẹbi a ti ṣe ileri ni Apakan 1 (\ "Ṣiṣeto Itọsọna Nẹtiwọọki Static"), ninu nkan yii (Apakan 2 ti jara RHCE) a yoo bẹrẹ nipasẹ ṣafihan awọn ilana ti sisẹ apo ati itumọ adirẹsi adirẹsi nẹtiwọki (NAT) ni Red Hat Idawọlẹ Linux 7, ṣaaju iluwẹ sinu siseto awọn aye ekuro asiko ṣiṣe lati yipada ihuwasi ti ekuro ti n ṣiṣẹ ti awọn ipo kan ba yipada tabi awọn aini dide.

Ṣiṣayẹwo Apo Nẹtiwọọki ni RHEL 7

Nigbati a ba sọrọ nipa sisẹ apo, a tọka si ilana kan ti a ṣe nipasẹ ogiriina ninu eyiti o ka akọle ti apo-iwe data kọọkan ti o gbidanwo lati kọja nipasẹ rẹ. Lẹhinna, o ṣe iyọda apo-iwe nipa gbigbe igbese ti o nilo ti o da lori awọn ofin ti o ti ṣalaye tẹlẹ nipasẹ olutọju eto.

Bi o ṣe le mọ, bẹrẹ pẹlu RHEL 7, iṣẹ aiyipada ti o ṣakoso awọn ofin ogiriina jẹ firewalld. Bii awọn iptables, o sọrọ si modulu netfilter ninu ekuro Linux lati le ṣayẹwo ati ṣe afọwọṣe awọn apo-iwe nẹtiwọọki. Ko dabi awọn iptables, awọn imudojuiwọn le ni ipa lẹsẹkẹsẹ laisi idilọwọ awọn asopọ ti nṣiṣe lọwọ - o ko paapaa ni lati tun iṣẹ naa bẹrẹ.

Anfani miiran ti firewalld ni pe o gba wa laaye lati ṣalaye awọn ofin ti o da lori awọn orukọ iṣẹ ti a tunto tẹlẹ (diẹ sii ni iyẹn ni iṣẹju kan).

Ni Apá 1, a lo iṣẹlẹ atẹle:

Sibẹsibẹ, iwọ yoo ranti pe a ṣe alaabo ogiriina lori olulana # 2 lati jẹ ki apẹẹrẹ rọrun nitoripe a ko ti bo sisẹ apo-iwe sibẹsibẹ. Jẹ ki a wo bayi bawo ni a ṣe le mu awọn apo-iwe ti nwọle ti a pinnu fun iṣẹ kan pato tabi ibudo ni ibi-ajo lọ.

Ni akọkọ, jẹ ki a ṣafikun ofin titilai lati gba laaye ijabọ inbound ni enp0s3 (192.168.0.19) si enp0s8 (10.0.0.18):

# firewall-cmd --permanent --direct --add-rule ipv4 filter FORWARD 0 -i enp0s3 -o enp0s8 -j ACCEPT

Ofin ti o wa loke yoo fi ofin pamọ si /etc/firewalld/direct.xml:

# cat /etc/firewalld/direct.xml

Lẹhinna mu ofin fun fun lati ni ipa lẹsẹkẹsẹ:

# firewall-cmd --direct --add-rule ipv4 filter FORWARD 0 -i enp0s3 -o enp0s8 -j ACCEPT

Bayi o le tẹn si olupin ayelujara lati apoti RHEL 7 ki o tun ṣiṣẹ tcpdump lẹẹkansi lati ṣe atẹle ijabọ TCP laarin awọn ero meji, ni akoko yii pẹlu ogiriina ni olulana # 2 ṣiṣẹ.

# telnet 10.0.0.20 80
# tcpdump -qnnvvv -i enp0s3 host 10.0.0.20

Kini ti o ba fẹ gba awọn isopọ ti nwọle si olupin ayelujara nikan (ibudo 80) lati 192.168.0.18 ati ṣe idiwọ awọn isopọ lati awọn orisun miiran ni nẹtiwọọki 192.168.0.0/24?

Ninu ogiriina olupin ayelujara, ṣafikun awọn ofin wọnyi:

# firewall-cmd --add-rich-rule 'rule family="ipv4" source address="192.168.0.18/24" service name="http" accept'
# firewall-cmd --add-rich-rule 'rule family="ipv4" source address="192.168.0.18/24" service name="http" accept' --permanent
# firewall-cmd --add-rich-rule 'rule family="ipv4" source address="192.168.0.0/24" service name="http" drop'
# firewall-cmd --add-rich-rule 'rule family="ipv4" source address="192.168.0.0/24" service name="http" drop' --permanent

Bayi o le ṣe awọn ibeere HTTP si olupin wẹẹbu, lati 192.168.0.18 ati lati ẹrọ miiran ni 192.168.0.0/24. Ninu ọran akọkọ asopọ yẹ ki o pari ni aṣeyọri, lakoko ninu keji o yoo ni ipari akoko.

Lati ṣe bẹ, eyikeyi ninu awọn ofin wọnyi yoo ṣe ẹtan:

# telnet 10.0.0.20 80
# wget 10.0.0.20

Mo gba ọ ni iyanju fun ọ lati ṣayẹwo iwe-ipamọ Firewalld Rich Language ni Fedora Project Wiki fun awọn alaye siwaju sii lori awọn ofin ọlọrọ.

Itumọ Adirẹsi Nẹtiwọọki ni RHEL 7

Itumọ Adirẹsi Nẹtiwọọki (NAT) jẹ ilana nibiti ẹgbẹ awọn kọnputa kan (o tun le jẹ ọkan ninu wọn) ninu nẹtiwọọki ikọkọ ni a fun ni adiresi IP ti ara ilu ọtọ. Bi abajade, wọn tun ṣe idanimọ adamo nipasẹ adirẹsi IP ikọkọ ti ara wọn ninu nẹtiwọọki ṣugbọn si ita gbogbo wọn “dabi” kanna.