Diagnozo de retkonektoj sur la virtuala enkursigilo EDGE

En iuj kazoj, problemoj povas aperi dum la agordo de virtuala enkursigilo. Ekzemple, haveno plusendado (NAT) ne funkcias kaj/aŭ ekzistas problemo en agordo de la Fajrmuraj reguloj mem. Aŭ vi nur bezonas akiri protokolojn de la enkursigilo, kontroli la funkciadon de la kanalo kaj fari retajn diagnozojn. Nuba provizanto Cloud4Y klarigas kiel tio estas farita.

Laborante kun virtuala enkursigilo

Antaŭ ĉio, ni devas agordi aliron al la virtuala enkursigilo - EDGE. Por fari tion, ni eniras ĝiajn servojn kaj iras al la taŭga langeto - EDGE-Agordoj. Tie ni ebligas SSH-Statuson, starigas pasvorton kaj nepre konservu la ŝanĝojn.

Se ni uzas striktajn Firewall-regulojn, kiam ĉio estas malpermesita defaŭlte, tiam ni aldonas regulojn, kiuj permesas konektojn al la enkursigilo mem per la SSH-haveno:

Poste ni konektas kun iu ajn SSH-kliento, ekzemple PuTTY, kaj atingas la konzolon.

En la konzolo, komandoj disponeblas al ni, kies listo estas videbla per:
listo

Kiuj ordonoj povas esti utilaj al ni? Jen listo de la plej utilaj:

• montri interfacon — montros la disponeblajn interfacojn kaj la instalitajn IP-adresojn sur ili
• montri protokolon - montros enkursigilojn
• montri protokolon sekvu — helpos vin rigardi la protokolon en reala tempo kun konstantaj ĝisdatigoj. Ĉiu regulo, ĉu ĝi estas NAT aŭ Fajromuro, havas Ebligi registran opcion, kiam ĝi estas ebligita, eventoj estos registritaj en la protokolo, kio permesos diagnozon.
• montri flutabelon — montros la tutan tabelon de establitaj konektoj kaj iliajn parametrojn
  Ekzemplo:1: tcp 6 21599 ESTABLISHED src=9Х.107.69.ХХХ dst=178.170.172.XXX sport=59365 dport=22 pkts=293 bytes=22496 src=178.170.172.ХХХ dst=91.107.69.173 sport=22 dport=59365 pkts=206 bytes=83569 [ASSURED] mark=0 rid=133427 use=1
• montri flutabel suproN 10 — permesas al vi montri la bezonatan nombron da linioj, en ĉi tiu ekzemplo 10
• montru flutabelo suproN 10 ordigi pktojn — helpos ordigi konektojn laŭ nombro da pakaĵoj de plej malgranda ĝis plej granda
• montru flutabel suproN 10 ordigaj bajtoj — helpos ordigi konektojn laŭ la nombro da bajtoj transdonitaj de plej malgranda al plej granda
• montri flutablan regulidentigilon suproN 10 — helpos montri konektojn per la postulata regulo-ID
• montri flutabel flowspec SPEC — por pli fleksebla elekto de konektoj, kie SPEC — starigas la necesajn filtrajn regulojn, ekzemple proto=tcp:srcip=9Х.107.69.ХХХ:sport=59365, por elekto uzante la TCP-protokolon kaj la fontan IP-adreson 9Х.107.69. XX de la sendinta haveno 59365
  Ekzemplo:> show flowtable flowspec proto=tcp:srcip=90.107.69.171:sport=59365
1: tcp 6 21599 ESTABLISHED src=9Х.107.69.XX dst=178.170.172.xxx sport=59365 dport=22 pkts=1659 bytes=135488 src=178.170.172.xxx dst=xx.107.69.xxx sport=22 dport=59365 pkts=1193 bytes=210361 [ASSURED] mark=0 rid=133427 use=1
Total flows: 1
• montri pakaĵetojn – permesos al vi vidi statistikojn pri pakaĵoj
• montri fajroŝirmilojn fluojn - Montras fajroŝirmitajn pakajn nombrilojn kune kun pakaj fluoj.

Ni ankaŭ povas uzi bazajn retajn diagnozajn ilojn rekte de la EDGE-enkursigilo:

• ping ip VORTO
• ping ip WORD size SIZE count COUNT nofrag - ping indikas la grandecon de la sendotataj datumoj kaj la nombron da ĉekoj, kaj ankaŭ malpermesas fragmentiĝon de la fiksita paka grandeco.
• traceroute ip VORTO

Sekvenco de diagnozo de fajroŝirmilo operacio sur Edge

1. Lanĉo montri fajroŝirmilon kaj rigardu la instalitajn kutimajn filtrajn regulojn en la tabelo usr_rules
2. Ni rigardas la POSTROUTIN-ĉenon kaj kontrolas la nombron da faligitaj pakaĵoj uzante la DROP-kampon. Se estas problemo kun nesimetria vojigo, ni registros pliigon de valoroj.
   Ni faru pliajn kontrolojn:
   • Ping funkcios en unu direkto kaj ne en la kontraŭa direkto
   • ping funkcios, sed TCP-sesioj ne estos establitaj.
3. Ni rigardas la eligon de informoj pri IP-adresoj - montri ipset
4. Ebligu ensalutadon laŭ la regulo de fajroŝirmilo en Edge-servoj
5. Ni rigardas la eventojn en la protokolo - montri protokolon sekvu
6. Ni kontrolas konektojn uzante la bezonatan rule_id - montri flutabel rule_id
7. Kun la helpo de montri fluostatojn Ni komparas la nun instalitajn konektoj de Nunaj Fluaj Eniroj kun la maksimuma permesita (Total Flua Kapacito) en la nuna agordo. Disponeblaj agordoj kaj limoj videblas en VMware NSX Edge. Se vi interesiĝas, mi povas paroli pri tio en la sekva artikolo.

Kion alian vi povas legi en la blogo? Cloud4Y

→ CRISPR-rezistemaj virusoj konstruas "ŝirmejojn" por protekti genamojn de DNA-penetrantaj enzimoj
→ Kiel la banko malsukcesis?
→ La Granda Neĝfloko-Teorio
→ Interreto sur balonoj
→ Pentestantoj ĉe la avangardo de cibersekureco

Abonu nian Telegramo-kanalo por ke vi ne maltrafu la sekvan artikolon! Ni skribas ne pli ol dufoje semajne kaj nur pri komerco. Ni memorigas al vi, ke noventreprenoj povas ricevi 1 RUB. de Cloud000Y. Kondiĉoj kaj aliĝilo por interesitoj troveblas en nia retejo: bit.ly/2sj6dPK

fonto: www.habr.com