Diagnostic des connexions réseau sur le routeur virtuel EDGE

Dans certains cas, des problèmes peuvent survenir lors de la configuration d'un routeur virtuel. Par exemple, la redirection de port (NAT) ne fonctionne pas et/ou il y a un problème dans la configuration des règles du pare-feu elles-mêmes. Ou il vous suffit d'obtenir les journaux du routeur, de vérifier le fonctionnement du canal et d'effectuer des diagnostics réseau. Le fournisseur de cloud Cloud4Y explique comment procéder.

Travailler avec un routeur virtuel

Tout d'abord, nous devons configurer l'accès au routeur virtuel – EDGE. Pour ce faire, nous entrons dans ses services et allons dans l'onglet approprié – Paramètres EDGE. Là, nous activons le statut SSH, définissons un mot de passe et veillons à enregistrer les modifications.

Si nous utilisons des règles strictes de pare-feu, alors que tout est interdit par défaut, alors nous ajoutons des règles qui autorisent les connexions au routeur lui-même via le port SSH :

Ensuite, nous nous connectons à n'importe quel client SSH, par exemple PuTTY, et accédons à la console.

Dans la console, des commandes s'offrent à nous, dont une liste peut être consultée à l'aide de :
liste

Quelles commandes peuvent nous être utiles ? Voici une liste des plus utiles :

• afficher l'interface — affichera les interfaces disponibles et les adresses IP installées sur celles-ci
• afficher le journal - affichera les journaux du routeur
• afficher le journal suivre - vous aidera à regarder le journal en temps réel avec des mises à jour constantes. Chaque règle, qu'il s'agisse de NAT ou de pare-feu, dispose d'une option Activer la journalisation. Lorsqu'elle est activée, les événements seront enregistrés dans le journal, ce qui permettra les diagnostics.
• afficher le tableau d'écoulement — affichera le tableau complet des connexions établies et leurs paramètres
  Exemple1: tcp 6 21599 ESTABLISHED src=9Х.107.69.ХХХ dst=178.170.172.XXX sport=59365 dport=22 pkts=293 bytes=22496 src=178.170.172.ХХХ dst=91.107.69.173 sport=22 dport=59365 pkts=206 bytes=83569 [ASSURED] mark=0 rid=133427 use=1
• afficher le dessus de table fluideN 10 — permet d'afficher le nombre de lignes souhaité, dans cet exemple 10
• afficher le dessus de table fluideN 10 paquets triés - aidera à trier les connexions par nombre de paquets du plus petit au plus grand
• show flowtable topN 10 octets triés - aidera à trier les connexions selon le nombre d'octets transférés du plus petit au plus grand
• afficher l'ID de la règle flowtable topN 10 - aidera à afficher les connexions par l'ID de règle requis
• show flowtable flowspec SPEC — pour une sélection plus flexible des connexions, où SPEC — définit les règles de filtrage nécessaires, par exemple proto=tcp:srcip=9Х.107.69.ХХХ:sport=59365, pour la sélection à l'aide du protocole TCP et de l'adresse IP source 9Х.107.69. XX depuis le port expéditeur 59365
  Exemple> show flowtable flowspec proto=tcp:srcip=90.107.69.171:sport=59365
1: tcp 6 21599 ESTABLISHED src=9Х.107.69.XX dst=178.170.172.xxx sport=59365 dport=22 pkts=1659 bytes=135488 src=178.170.172.xxx dst=xx.107.69.xxx sport=22 dport=59365 pkts=1193 bytes=210361 [ASSURED] mark=0 rid=133427 use=1
Total flows: 1
• afficher les abandons de paquets – vous permettra de visualiser des statistiques sur les colis
• afficher les flux du pare-feu - Affiche les compteurs de paquets du pare-feu ainsi que les flux de paquets.

Nous pouvons également utiliser des outils de diagnostic réseau de base directement depuis le routeur EDGE :

• ping ip MOT
• ping ip WORD size SIZE count COUNT nofrag – ping indiquant la taille des données envoyées et le nombre de contrôles, et interdit également la fragmentation de la taille de paquet définie.
• traceroute ip MOT

Séquence de diagnostic du fonctionnement du pare-feu sur Edge

1. Run afficher le pare-feu et regardez les règles de filtrage personnalisées installées dans la table usr_rules
2. Nous examinons la chaîne POSTROUTIN et contrôlons le nombre de paquets abandonnés à l'aide du champ DROP. S'il y a un problème de routage asymétrique, nous enregistrerons une augmentation des valeurs.
   Effectuons des vérifications complémentaires :
   • Ping fonctionnera dans un sens et non dans le sens opposé
   • ping fonctionnera, mais les sessions TCP ne seront pas établies.
3. Nous examinons la sortie des informations sur les adresses IP - afficher l'ipset
4. Activer la journalisation sur la règle de pare-feu dans les services Edge
5. Nous regardons les événements dans le journal - afficher le journal suivre
6. Nous vérifions les connexions en utilisant le Rule_id requis - afficher l'ID_règle du tableau de flux
7. Au moyen de afficher les débitstats Nous comparons les connexions Current Flow Entries actuellement installées avec le maximum autorisé (capacité de débit totale) dans la configuration actuelle. Les configurations et limites disponibles peuvent être consultées dans VMware NSX Edge. Si cela vous intéresse, je peux en parler dans le prochain article.

Que pouvez-vous lire d'autre sur le blog ? Cloud4Y

→ Les virus résistants à CRISPR construisent des « abris » pour protéger les génomes des enzymes pénétrant l'ADN
→ Comment la banque a-t-elle fait faillite ?
→ La théorie du grand flocon de neige
→ Internet sur des ballons
→ Les pentesters à la pointe de la cybersécurité

Abonnez-vous à notre Telegram-channel pour ne pas manquer le prochain article ! Nous n'écrivons pas plus de deux fois par semaine et uniquement pour affaires. Nous vous rappelons que les startups peuvent recevoir 1 000 000 RUB. de Cloud4Y. Les conditions et le formulaire de candidature pour les personnes intéressées sont disponibles sur notre site Internet : bit.ly/2sj6dPK

Source: habr.com