Diagnose von Netzwerkverbindungen auf dem virtuellen EDGE-Router

In manchen Fällen kann es beim Einrichten eines virtuellen Routers zu Problemen kommen. Beispielsweise funktioniert die Portweiterleitung (NAT) nicht und/oder es liegt ein Problem bei der Einrichtung der Firewall-Regeln selbst vor. Oder Sie müssen lediglich Protokolle des Routers abrufen, den Betrieb des Kanals überprüfen und eine Netzwerkdiagnose durchführen. Der Cloud-Anbieter Cloud4Y erklärt, wie das geht.

Arbeiten mit einem virtuellen Router

Zunächst müssen wir den Zugriff auf den virtuellen Router – EDGE – konfigurieren. Dazu geben wir seine Dienste ein und gehen zur entsprechenden Registerkarte – EDGE-Einstellungen. Dort aktivieren wir den SSH-Status, legen ein Passwort fest und speichern die Änderungen unbedingt.

Wenn wir strenge Firewall-Regeln verwenden, bei denen standardmäßig alles verboten ist, fügen wir Regeln hinzu, die Verbindungen zum Router selbst über den SSH-Port zulassen:

Dann verbinden wir uns mit einem beliebigen SSH-Client, zum Beispiel PuTTY, und gelangen zur Konsole.

In der Konsole stehen uns Befehle zur Verfügung, deren Liste mit folgendem Befehl eingesehen werden kann:
Liste

Welche Befehle können für uns nützlich sein? Hier ist eine Liste der nützlichsten:

• Schnittstelle zeigen — zeigt die verfügbaren Schnittstellen und die darauf installierten IP-Adressen an
• Protokoll anzeigen - Zeigt Router-Protokolle an
• Protokoll anzeigen folgen – hilft Ihnen, das Protokoll in Echtzeit mit ständigen Updates zu verfolgen. Jede Regel, sei es NAT oder Firewall, verfügt über die Option „Protokollierung aktivieren“. Wenn sie aktiviert ist, werden Ereignisse im Protokoll aufgezeichnet, was eine Diagnose ermöglicht.
• Flowtable anzeigen — zeigt die gesamte Tabelle der hergestellten Verbindungen und ihrer Parameter an
  Beispiel1: tcp 6 21599 ESTABLISHED src=9Х.107.69.ХХХ dst=178.170.172.XXX sport=59365 dport=22 pkts=293 bytes=22496 src=178.170.172.ХХХ dst=91.107.69.173 sport=22 dport=59365 pkts=206 bytes=83569 [ASSURED] mark=0 rid=133427 use=1
• Flowtable obenN 10 anzeigen – ermöglicht Ihnen die Anzeige der erforderlichen Anzahl von Zeilen, in diesem Beispiel 10
• Flowtable oben anzeigenN 10 sortierte Pck – hilft dabei, Verbindungen nach der Anzahl der Pakete vom kleinsten zum größten zu sortieren
• show flowtable topN 10 Sortierbytes – hilft dabei, Verbindungen nach der Anzahl der übertragenen Bytes vom kleinsten zum größten zu sortieren
• Flowtable-Regel-ID-ID topN 10 anzeigen – hilft dabei, Verbindungen nach der erforderlichen Regel-ID anzuzeigen
• Flusstabelle anzeigen Flussspezifikation SPEC — für eine flexiblere Auswahl von Verbindungen, wobei SPEC — die erforderlichen Filterregeln festlegt, zum Beispiel proto=tcp:srcip=9Х.107.69.ХХХ:sport=59365, für die Auswahl mithilfe des TCP-Protokolls und der Quell-IP-Adresse 9Х.107.69. XX vom Absenderport 59365
  Beispiel> show flowtable flowspec proto=tcp:srcip=90.107.69.171:sport=59365
1: tcp 6 21599 ESTABLISHED src=9Х.107.69.XX dst=178.170.172.xxx sport=59365 dport=22 pkts=1659 bytes=135488 src=178.170.172.xxx dst=xx.107.69.xxx sport=22 dport=59365 pkts=1193 bytes=210361 [ASSURED] mark=0 rid=133427 use=1
Total flows: 1
• Paketverluste anzeigen – ermöglicht es Ihnen, Statistiken zu Paketen anzuzeigen
• Firewall-Flows anzeigen - Zeigt Firewall-Paketzähler zusammen mit Paketflüssen an.

Wir können auch grundlegende Netzwerkdiagnosetools direkt vom EDGE-Router aus verwenden:

• ping ip WORD
• ping ip WORD size SIZE count COUNT nofrag – Ping gibt die Größe der gesendeten Daten und die Anzahl der Prüfungen an und verhindert außerdem die Fragmentierung der eingestellten Paketgröße.
• Traceroute-IP-WORT

Reihenfolge der Diagnose des Firewall-Betriebs am Edge

1. Rennen Firewall anzeigen und sehen Sie sich die installierten benutzerdefinierten Filterregeln in der Tabelle usr_rules an
2. Wir betrachten die POSTROUTIN-Kette und steuern die Anzahl der verworfenen Pakete mithilfe des DROP-Felds. Sollte es ein Problem mit asymmetrischem Routing geben, werden wir einen Anstieg der Werte verzeichnen.
   Lassen Sie uns zusätzliche Prüfungen durchführen:
   • Ping funktioniert in eine Richtung und nicht in die entgegengesetzte Richtung
   • Ping funktioniert zwar, es werden jedoch keine TCP-Sitzungen aufgebaut.
3. Wir betrachten die Ausgabe von Informationen über IP-Adressen - ipset anzeigen
4. Aktivieren Sie die Protokollierung der Firewall-Regel in Edge-Diensten
5. Wir schauen uns die Ereignisse im Protokoll an - Protokoll anzeigen folgen
6. Wir prüfen Verbindungen anhand der erforderlichen Rule_ID - Flowtable-Regel-ID anzeigen
7. Durch Flowstats anzeigen Wir vergleichen die aktuell installierten Current Flow Entries-Verbindungen mit der maximal zulässigen (Gesamtflusskapazität) in der aktuellen Konfiguration. Verfügbare Konfigurationen und Grenzwerte können in VMware NSX Edge angezeigt werden. Wenn Sie interessiert sind, kann ich im nächsten Artikel darüber sprechen.

Was können Sie sonst noch auf dem Blog lesen? Cloud4Y

→ CRISPR-resistente Viren bauen „Schutzräume“, um Genome vor DNA-durchdringenden Enzymen zu schützen
→ Wie ist die Bank gescheitert?
→ Die große Schneeflockentheorie
→ Internet auf Ballons
→ Pentester an der Spitze der Cybersicherheit

Abonnieren Sie unseren Telegram-Kanal, damit Sie den nächsten Artikel nicht verpassen! Wir schreiben höchstens zweimal pro Woche und nur geschäftlich. Wir erinnern Sie daran, dass Startups 1 RUB erhalten können. von Cloud000Y. Konditionen und Anmeldeformular für Interessierte finden Sie auf unserer Website: bit.ly/2sj6dPK

Source: habr.com