Diagnóstico de conexiones de red en el enrutador virtual EDGE

En algunos casos, pueden surgir problemas al configurar un enrutador virtual. Por ejemplo, el reenvío de puertos (NAT) no funciona y/o hay un problema al configurar las reglas del Firewall. O simplemente necesita obtener registros del enrutador, verificar el funcionamiento del canal y realizar diagnósticos de red. El proveedor de nube Cloud4Y explica cómo se hace esto.

Trabajar con un enrutador virtual

En primer lugar, debemos configurar el acceso al enrutador virtual – EDGE. Para ello, entramos en sus servicios y vamos a la pestaña correspondiente – Configuración de EDGE. Allí habilitamos el estado SSH, configuramos una contraseña y nos aseguramos de guardar los cambios.

Si usamos reglas estrictas de Firewall, cuando todo está prohibido por defecto, entonces agregamos reglas que permiten conexiones al propio enrutador a través del puerto SSH:

Luego nos conectamos con cualquier cliente SSH, por ejemplo PuTTY, y accedemos a la consola.

En la consola, los comandos están disponibles para nosotros, cuya lista se puede ver usando:
lista

¿Qué comandos nos pueden ser útiles? Aquí tienes una lista de los más útiles:

• Mostrar interfaz — mostrará las interfaces disponibles y las direcciones IP instaladas en ellas
• Mostrar registro - mostrará los registros del enrutador
• mostrar registro seguir — te ayudará a ver el registro en tiempo real con actualizaciones constantes. Cada regla, ya sea NAT o Firewall, tiene una opción Habilitar registro; cuando está habilitada, los eventos se registrarán en el registro, lo que permitirá realizar diagnósticos.
• mostrar tabla de flujo — mostrará la tabla completa de conexiones establecidas y sus parámetros
  ejemplo1: tcp 6 21599 ESTABLISHED src=9Х.107.69.ХХХ dst=178.170.172.XXX sport=59365 dport=22 pkts=293 bytes=22496 src=178.170.172.ХХХ dst=91.107.69.173 sport=22 dport=59365 pkts=206 bytes=83569 [ASSURED] mark=0 rid=133427 use=1
• mostrar tabla de flujo superiorN 10 — le permite mostrar el número requerido de líneas, en este ejemplo 10
• mostrar tabla de flujo topN 10 paquetes ordenados por — ayudará a ordenar las conexiones por cantidad de paquetes, de menor a mayor
• muestra la tabla de flujo topN 10 bytes ordenados — ayudará a ordenar las conexiones por el número de bytes transferidos de menor a mayor
• mostrar ID de regla de tabla de flujo topN 10 — ayudará a mostrar las conexiones según el ID de regla requerido
• mostrar especificación de flujo de tabla de flujo — para una selección más flexible de conexiones, donde SPEC — establece las reglas de filtrado necesarias, por ejemplo proto=tcp:srcip=9Х.107.69.ХХХ:sport=59365, para la selección utilizando el protocolo TCP y la dirección IP de origen 9Х.107.69. XX desde el puerto del remitente 59365
  ejemplo> show flowtable flowspec proto=tcp:srcip=90.107.69.171:sport=59365
1: tcp 6 21599 ESTABLISHED src=9Х.107.69.XX dst=178.170.172.xxx sport=59365 dport=22 pkts=1659 bytes=135488 src=178.170.172.xxx dst=xx.107.69.xxx sport=22 dport=59365 pkts=1193 bytes=210361 [ASSURED] mark=0 rid=133427 use=1
Total flows: 1
• mostrar caídas de paquetes – le permitirá ver estadísticas sobre paquetes
• mostrar flujos de firewall - Muestra contadores de paquetes de firewall junto con flujos de paquetes.

También podemos utilizar herramientas básicas de diagnóstico de red directamente desde el router EDGE:

• ping ip PALABRA
• ping ip Tamaño de PALABRA TAMAÑO recuento COUNT nofrag – ping que indica el tamaño de los datos que se envían y el número de comprobaciones, y también prohíbe la fragmentación del tamaño de paquete establecido.
• traceroute ip PALABRA

Secuencia de diagnóstico del funcionamiento del Firewall en Edge

1. Lanzamos mostrar firewall y observe las reglas de filtrado personalizadas instaladas en la tabla usr_rules
2. Observamos la cadena POSTROUTIN y controlamos la cantidad de paquetes descartados usando el campo DROP. Si hay un problema con el enrutamiento asimétrico, registraremos un aumento en los valores.
   Realicemos comprobaciones adicionales:
   • El ping funcionará en una dirección y no en la opuesta
   • El ping funcionará, pero no se establecerán sesiones TCP.
3. Observamos la salida de información sobre direcciones IP: mostrar ipset
4. Habilite el inicio de sesión en la regla de firewall en los servicios Edge
5. Miramos los eventos en el registro. mostrar registro seguir
6. Verificamos las conexiones usando el rule_id requerido - mostrar regla_id de tabla de flujo
7. Por medio de mostrar estadísticas de flujo Comparamos las conexiones de Entradas de Flujo Actual instaladas actualmente con el máximo permitido (Capacidad de Flujo Total) en la configuración actual. Las configuraciones y los límites disponibles se pueden ver en VMware NSX Edge. Si estás interesado, puedo hablar de esto en el próximo artículo.

¿Qué más puedes leer en el blog? nube4y

→ Los virus resistentes a CRISPR construyen "refugios" para proteger los genomas de las enzimas que penetran el ADN
→ ¿Cómo quebró el banco?
→ La teoría del gran copo de nieve
→ internet en globos
→ Pentesters a la vanguardia de la ciberseguridad

Suscríbase a nuestro Telegram-canal para que no te pierdas el próximo artículo! No escribimos más de dos veces por semana y solo por negocios. Le recordamos que las startups pueden recibir 1 de rublos. de Cloud000Y. Las condiciones y formulario de solicitud para los interesados ​​se pueden encontrar en nuestra página web: bit.ly/2sj6dPK

Fuente: habr.com