Diagnòstic de connexions de xarxa al router virtual EDGE

En alguns casos, poden sorgir problemes en configurar un encaminador virtual. Per exemple, el reenviament de ports (NAT) no funciona i/o hi ha un problema en configurar les regles del tallafoc. O només cal obtenir els registres de l'encaminador, comprovar el funcionament del canal i realitzar diagnòstics de xarxa. El proveïdor de núvol Cloud4Y explica com es fa.

Treballant amb un encaminador virtual

En primer lloc, hem de configurar l'accés a l'encaminador virtual – EDGE. Per fer-ho, entrem als seus serveis i anem a la pestanya corresponent – ​​Configuració EDGE. Allà activem l'estat SSH, establim una contrasenya i ens assegurem de desar els canvis.

Si fem servir regles estrictes del tallafoc, quan tot està prohibit per defecte, afegim regles que permeten les connexions al propi encaminador a través del port SSH:

Després ens connectem amb qualsevol client SSH, per exemple PuTTY, i arribem a la consola.

A la consola, tenim ordres disponibles, una llista de les quals es pot veure amb:
llista

Quines ordres ens poden ser útils? Aquí teniu una llista dels més útils:

• mostrar la interfície — mostrarà les interfícies disponibles i les adreces IP instal·lades en elles
• mostrar el registre - mostrarà els registres de l'encaminador
• mostra el seguiment del registre — us ajudarà a veure el registre en temps real amb actualitzacions constants. Cada regla, sigui NAT o Firewall, té una opció d'activació de registre, quan està habilitada, els esdeveniments s'enregistraran al registre, la qual cosa permetrà el diagnòstic.
• mostrar el flux — mostrarà tota la taula de connexions establertes i els seus paràmetres
  Exemple1: tcp 6 21599 ESTABLISHED src=9Х.107.69.ХХХ dst=178.170.172.XXX sport=59365 dport=22 pkts=293 bytes=22496 src=178.170.172.ХХХ dst=91.107.69.173 sport=22 dport=59365 pkts=206 bytes=83569 [ASSURED] mark=0 rid=133427 use=1
• mostra la part superior de la taula de flux N 10 — us permet mostrar el nombre de línies requerides, en aquest exemple 10
• mostra la taula de flux superiorN 10 ordenats per paquets — ajudarà a ordenar les connexions pel nombre de paquets del més petit al més gran
• mostra la taula de flux superiorN 10 bytes ordenats — ajudarà a ordenar les connexions pel nombre de bytes transferits del més petit al més gran
• mostra l'identificador de regla de la taula de flux topN 10 — ajudarà a mostrar les connexions mitjançant l'ID de regla requerit
• mostra les especificacions de flux de la taula de flux SPEC — per a una selecció més flexible de connexions, on SPEC — estableix les regles de filtratge necessàries, per exemple proto=tcp:srcip=9Х.107.69.ХХХ:sport=59365, per a la selecció mitjançant el protocol TCP i l'adreça IP d'origen 9Х.107.69. XX del port del remitent 59365
  Exemple> show flowtable flowspec proto=tcp:srcip=90.107.69.171:sport=59365
1: tcp 6 21599 ESTABLISHED src=9Х.107.69.XX dst=178.170.172.xxx sport=59365 dport=22 pkts=1659 bytes=135488 src=178.170.172.xxx dst=xx.107.69.xxx sport=22 dport=59365 pkts=1193 bytes=210361 [ASSURED] mark=0 rid=133427 use=1
Total flows: 1
• mostra les gotes de paquets - us permetrà veure les estadístiques dels paquets
• mostrar els fluxos del tallafoc - Mostra els comptadors de paquets del tallafoc juntament amb els fluxos de paquets.

També podem utilitzar eines bàsiques de diagnòstic de xarxa directament des de l'encaminador EDGE:

• ping ip WORD
• ping ip WORD size SIZE count COUNT nofrag: ping que indica la mida de les dades que s'envien i el nombre de comprovacions, i també prohibeix la fragmentació de la mida del paquet establerta.
• traceroute ip WORD

Seqüència de diagnòstic del funcionament del tallafoc a Edge

1. Llançament mostra el tallafoc i mireu les regles de filtrat personalitzades instal·lades a la taula usr_rules
2. Observem la cadena POSTROUTIN i controlem el nombre de paquets deixats caure mitjançant el camp DROP. Si hi ha algun problema amb l'encaminament asimètric, registrarem un augment de valors.
   Realitzem comprovacions addicionals:
   • El ping funcionarà en una direcció i no en la direcció oposada
   • ping funcionarà, però no s'establiran sessions TCP.
3. Mirem la sortida de la informació sobre les adreces IP: mostrar ipset
4. Activeu el registre a la regla del tallafoc als serveis Edge
5. Mirem els esdeveniments al registre - mostra el seguiment del registre
6. Comprovem les connexions utilitzant el rule_id requerit - mostra l'identificador de regla de la taula de flux
7. Mitjançant mostrar estadístiques de flux Comparem les connexions d'Entrades de flux actual instal·lades actualment amb la màxima permesa (capacitat de flux total) a la configuració actual. Les configuracions i els límits disponibles es poden veure a VMware NSX Edge. Si us interessa, en puc parlar al següent article.

Què més pots llegir al blog? Núvol4Y

→ Els virus resistents a CRISPR construeixen "refugis" per protegir els genomes dels enzims que penetran l'ADN
→ Com va fallar el banc?
→ La teoria del gran floc de neu
→ Internet en globus
→ Pentesters a l'avantguarda de la ciberseguretat

Subscriu-te al nostre telegram-canal perquè no et perdis el següent article! Escrivim no més de dues vegades per setmana i només per negocis. Us recordem que les startups poden rebre 1 RUB. de Cloud000Y. Les condicions i el formulari de sol·licitud per als interessats es poden consultar a la nostra pàgina web: bit.ly/2sj6dPK

Font: www.habr.com