Giunsa Pagbuhat ang Packet Filtering, Paghubad sa Address sa Network ug Itakda ang Kernel Runtime Parameter - Bahin 2

Sama sa gisaad sa Part 1 (\Setup Static Network Routing), niining artikuloha (Bahin 2 sa RHCE series) magsugod kita pinaagi sa pagpaila sa mga prinsipyo sa packet filtering ug network address translation (NAT) sa Red Hat Enterprise Linux 7, sa wala pa pag-diving ngadto sa pag-set sa runtime kernel parameters aron mabag-o ang kinaiya sa usa ka running kernel kung adunay mga kondisyon nga mausab o kinahanglan nga motungha.

Network Packet Filtering sa RHEL 7

Kung maghisgot kami bahin sa pagsala sa pakete, among gipunting ang usa ka proseso nga gihimo sa usa ka firewall diin mabasa niini ang ulohan sa matag pakete sa datos nga mosulay sa pag-agi niini. Dayon, gisala niini ang pakete pinaagi sa paghimo sa gikinahanglan nga aksyon base sa mga lagda nga gihubit na kaniadto sa tagdumala sa sistema.

Sama sa imong nahibal-an, sugod sa RHEL 7, ang default nga serbisyo nga nagdumala sa mga lagda sa firewall mao ang firewalld. Sama sa iptables, kini nakigsulti sa netfilter module sa Linux kernel aron masusi ug mamanipula ang mga network packet. Dili sama sa mga iptables, ang mga pag-update mahimong epektibo dayon nga dili makabalda sa mga aktibo nga koneksyon - dili nimo kinahanglan nga i-restart ang serbisyo.

Ang laing bentaha sa firewalld mao nga kini nagtugot kanato sa paghubit sa mga lagda base sa pre-configured nga mga ngalan sa serbisyo (labaw pa niana sa usa ka minuto).

Sa Part 1, gigamit namo ang mosunod nga senaryo:

Bisan pa, mahinumduman nimo nga gi-disable namon ang firewall sa router #2 aron pasimplehon ang pananglitan tungod kay wala pa namon masakop ang pagsala sa packet. Atong tan-awon karon kon unsaon nato pag-enable ang umaabot nga mga packet nga gitakda alang sa usa ka piho nga serbisyo o pantalan sa destinasyon.

Una, magdugang kita og permanenteng lagda aron tugotan ang pagsulod sa trapiko sa enp0s3 (192.168.0.19) ngadto sa enp0s8 (10.0.0.18):

# firewall-cmd --permanent --direct --add-rule ipv4 filter FORWARD 0 -i enp0s3 -o enp0s8 -j ACCEPT

Ang sugo sa ibabaw magtipig sa lagda sa /etc/firewalld/direct.xml:

# cat /etc/firewalld/direct.xml

Unya i-enable ang lagda aron kini ma-epekto dayon:

# firewall-cmd --direct --add-rule ipv4 filter FORWARD 0 -i enp0s3 -o enp0s8 -j ACCEPT

Karon mahimo ka na nga telnet sa web server gikan sa kahon sa RHEL 7 ug ipadagan pag-usab ang tcpdump aron ma-monitor ang trapiko sa TCP tali sa duha nga mga makina, niining higayona nga gipaandar ang firewall sa router #2.

# telnet 10.0.0.20 80
# tcpdump -qnnvvv -i enp0s3 host 10.0.0.20

Unsa kaha kung gusto nimo nga tugutan lamang ang umaabot nga mga koneksyon sa web server (port 80) gikan sa 192.168.0.18 ug babagan ang mga koneksyon gikan sa ubang mga gigikanan sa 192.168.0.0/24 network?

Sa firewall sa web server, idugang ang mosunod nga mga lagda:

# firewall-cmd --add-rich-rule 'rule family="ipv4" source address="192.168.0.18/24" service name="http" accept'
# firewall-cmd --add-rich-rule 'rule family="ipv4" source address="192.168.0.18/24" service name="http" accept' --permanent
# firewall-cmd --add-rich-rule 'rule family="ipv4" source address="192.168.0.0/24" service name="http" drop'
# firewall-cmd --add-rich-rule 'rule family="ipv4" source address="192.168.0.0/24" service name="http" drop' --permanent

Karon makahimo ka og HTTP nga mga hangyo sa web server, gikan sa 192.168.0.18 ug gikan sa ubang makina sa 192.168.0.0/24. Sa una nga kaso ang koneksyon kinahanglan nga makompleto nga malampuson, samtang sa ikaduha kini sa katapusan matapos.

Sa pagbuhat niini, bisan unsa sa mosunod nga mga sugo makahimo sa lansis:

# telnet 10.0.0.20 80
# wget 10.0.0.20

Gitambagan ko ikaw nga susihon ang dokumentasyon sa Firewalld Rich Language sa Fedora Project Wiki para sa dugang nga mga detalye sa daghang mga lagda.

Paghubad sa Address sa Network sa RHEL 7

Ang Network Address Translation (NAT) mao ang proseso diin ang usa ka grupo sa mga kompyuter (mahimo usab nga usa lang niini) sa usa ka pribado nga network gi-assign sa usa ka talagsaon nga pampublikong IP address. Ingon nga resulta, sila sa gihapon talagsaon nga giila pinaagi sa ilang kaugalingon nga pribado nga IP address sa sulod sa network apan sa gawas silang tanan daw managsama.