Diagnostyk fan netwurkferbiningen op 'e EDGE firtuele router

Yn guon gefallen kinne problemen ûntstean by it ynstellen fan in firtuele router. Bygelyks, haven trochstjoere (NAT) wurket net en / of der is in probleem yn it ynstellen fan de Firewall regels sels. Of jo moatte gewoan logs fan 'e router krije, de wurking fan it kanaal kontrolearje en netwurkdiagnoaze útfiere. Wolkenprovider Cloud4Y leit út hoe't dit dien wurdt.

Wurkje mei in firtuele router

Alderearst moatte wy tagong ta de firtuele router konfigurearje - EDGE. Om dit te dwaan, geane wy ​​har tsjinsten yn en gean nei de passende ljepper - EDGE-ynstellingen. Dêr skeakelje wy SSH Status yn, set in wachtwurd yn, en wês wis dat jo de wizigingen bewarje.

As wy strikte Firewall-regels brûke, as alles standert ferbean is, dan foegje wy regels ta dy't ferbiningen mei de router sels tastean fia de SSH-poarte:

Dan ferbine wy ​​mei elke SSH-kliïnt, bygelyks PuTTY, en komme nei de konsole.

Yn 'e konsole wurde kommando's foar ús beskikber, wêrfan in list kin wurde sjoen mei:
list

Hokker kommando's kinne nuttich foar ús wêze? Hjir is in list mei de meast brûkbere:

• show ynterface - sil de beskikbere ynterfaces en de ynstalleare IP-adressen derop werjaan
• log sjen litte - sil router logs sjen litte
• show log folgje - sil jo helpe om it log yn realtime te besjen mei konstante updates. Elke regel, of it no NAT of Firewall is, hat in ynskeakelje logging opsje, as ynskeakele, barren wurde opnommen yn it log, dat sil tastean diagnostyk.
• show flowtable - sil de heule tabel mei fêststelde ferbiningen en har parameters sjen litte
  Foarbyld:1: tcp 6 21599 ESTABLISHED src=9Х.107.69.ХХХ dst=178.170.172.XXX sport=59365 dport=22 pkts=293 bytes=22496 src=178.170.172.ХХХ dst=91.107.69.173 sport=22 dport=59365 pkts=206 bytes=83569 [ASSURED] mark=0 rid=133427 use=1
• sjen litte streamtabel topN 10 - lit jo it fereaske oantal rigels werjaan, yn dit foarbyld 10
• show flowtable topN 10 sort-by pkts - sil helpe om ferbiningen te sortearjen op oantal pakketten fan lyts nei grutste
• show flowtable topN 10 sorte-bytes - sil helpe om ferbiningen te sortearjen troch it oantal bytes oerdroegen fan lytste nei grutste
• show flowtable rule-id ID topN 10 - sil helpe by it werjaan fan ferbiningen troch de fereaske regel-ID
• lit flowtable flowspec SPEC sjen - foar mear fleksibele seleksje fan ferbinings, dêr't SPEC - stelt de nedige filtering regels, bygelyks proto = tcp: srcip = 9Х.107.69.ХХХ: sport = 59365, foar seleksje mei help fan it TCP protokol en de boarne IP adres 9Х.107.69. XX fan de stjoerder poarte 59365
  Foarbyld:> show flowtable flowspec proto=tcp:srcip=90.107.69.171:sport=59365
1: tcp 6 21599 ESTABLISHED src=9Х.107.69.XX dst=178.170.172.xxx sport=59365 dport=22 pkts=1659 bytes=135488 src=178.170.172.xxx dst=xx.107.69.xxx sport=22 dport=59365 pkts=1193 bytes=210361 [ASSURED] mark=0 rid=133427 use=1
Total flows: 1
• toan pakket drops - lit jo statistiken oer pakketten besjen
• sjen litte firewall streamt - Toant pakkettellers fan firewall tegearre mei pakketstreamen.

Wy kinne ek basale netwurkdiagnostyske ark direkt brûke fan 'e EDGE-router:

• ping ip WORD
• ping ip WORD grutte SIZE count COUNT nofrag - ping oanjout de grutte fan de gegevens wurde ferstjoerd en it oantal kontrôles, en ek ferbiede fragmintaasje fan de ynstelde pakket grutte.
• traceroute ip WORD

Folchoarder fan diagnoaze Firewall operaasje op Edge

1. Launch sjen litte firewall en sjoch nei de ynstallearre oanpaste filterregels yn 'e usr_rules-tabel
2. Wy sjogge nei de POSTROUTIN-ketting en kontrolearje it oantal sakke pakketten mei it DROP-fjild. As d'r in probleem is mei asymmetryske routing, sille wy in ferheging fan wearden opnimme.
   Litte wy ekstra kontrôles útfiere:
   • Ping sil wurkje yn ien rjochting en net yn 'e tsjinoerstelde rjochting
   • ping sil wurkje, mar TCP sesjes wurde net fêstlein.
3. Wy sjogge nei de útfier fan ynformaasje oer IP-adressen - ipset sjen litte
4. Oanmelde by de firewall-regel yn Edge-tsjinsten ynskeakelje
5. Wy sjogge nei de barrens yn it log - show log folgje
6. Wy kontrolearje ferbiningen mei de fereaske regel_id - show flowtable rule_id
7. Mei help fan lit flowstats sjen Wy fergelykje de op it stuit ynstalleare ferbiningen fan Current Flow Entries mei de maksimum tastiene (Totale Flow Capacity) yn 'e hjoeddeistige konfiguraasje. Beskikbere konfiguraasjes en grinzen kinne wurde besjoen yn VMware NSX Edge. As jo ​​​​ynteressearre binne, kin ik hjir oer prate yn it folgjende artikel.

Wat kinne jo mear lêze op it blog? Wolk4Y

→ CRISPR-resistinte firussen bouwe "skûlplakken" om genomen te beskermjen tsjin DNA-penetrearjende enzymen
→ Hoe is de bank mislearre?
→ The Great Snowflake Theory
→ Ynternet op ballonnen
→ Pentesters oan 'e foargrûn fan cybersecurity

Ynskriuwe op ús Telegram-kanaal sadat jo it folgjende artikel net misse! Wy skriuwe net mear as twa kear yn 'e wike en allinnich op saaklik. Wy herinnerje jo dat startups RUB 1 kinne ûntfange. út Cloud000Y. Betingsten en oanfraachformulier foar belangstellenden binne te finen op ús webside: bit.ly/2sj6dPK

Boarne: www.habr.com