Dyagnostik koneksyon rezo sou routeur vityèl EDGE la

Nan kèk ka, pwoblèm ka rive lè w ap mete yon routeur vityèl. Pa egzanp, port forwarding (NAT) pa travay e/oswa gen yon pwoblèm nan mete kanpe règ firewall yo. Oswa ou jis bezwen jwenn mòso bwa nan routeur la, tcheke operasyon an nan kanal la, epi fè dyagnostik rezo a. Founisè Cloud4Y eksplike kijan sa fèt.

Travay ak yon routeur vityèl

Premye a tout, nou bezwen konfigirasyon aksè nan routeur la vityèl - EDGE. Pou fè sa, nou antre nan sèvis li yo epi ale nan tab ki apwopriye a - Anviwònman EDGE. La nou pèmèt SSH Status, mete yon modpas, epi asire w ke ou sove chanjman yo.

Si nou itilize règ firewall strik, lè tout bagay entèdi pa default, Lè sa a, nou ajoute règ ki pèmèt koneksyon ak routeur nan tèt li atravè pò a SSH:

Lè sa a, nou konekte ak nenpòt kliyan SSH, pou egzanp PuTTY, epi ale nan konsole a.

Nan konsole a, kòmandman vin disponib pou nou, yon lis ki ka wè lè l sèvi avèk:
lis

Ki kòmandman ki ka itil nou? Isit la se yon lis ki pi itil:

• montre koòdone — pral montre entèfas ki disponib yo ak adrès IP enstale yo sou yo
• montre boutèy demi lit. - pral montre mòso bwa routeur
• montre log swiv — pral ede w gade boutèy demi lit la an tan reyèl ak mizajou konstan. Chak règ, kit se NAT oswa Firewall, gen yon opsyon Pèmèt antre, lè yo aktive, evènman yo pral anrejistre nan boutèy la, ki pral pèmèt dyagnostik.
• montre flowtable — pral montre tout tab la nan koneksyon etabli ak paramèt yo
  Egzanp1: tcp 6 21599 ESTABLISHED src=9Х.107.69.ХХХ dst=178.170.172.XXX sport=59365 dport=22 pkts=293 bytes=22496 src=178.170.172.ХХХ dst=91.107.69.173 sport=22 dport=59365 pkts=206 bytes=83569 [ASSURED] mark=0 rid=133427 use=1
• montre flowtable topN 10 — pèmèt ou montre kantite liy ki nesesè yo, nan egzanp sa a 10
• montre flowtable topN 10 sort-by pkts — pral ede klase koneksyon pa kantite pake soti nan pi piti a pi gwo
• montre flowtable topN 10 sort-by bytes — pral ede klase koneksyon pa kantite bytes transfere soti nan pi piti a pi gwo
• montre idantite idantite règ flowtable topN 10 — pral ede montre koneksyon pa ID règ ki nesesè yo
• montre flowtable flowspec SPEC — pou seleksyon pi fleksib nan koneksyon, kote SPEC — fikse règ filtraj ki nesesè yo, pou egzanp proto=tcp:srcip=9Х.107.69.ХХХ:sport=59365, pou seleksyon lè l sèvi avèk pwotokòl TCP ak adrès IP sous 9Х.107.69. XX soti nan pò moun k ap voye 59365 la
  Egzanp> show flowtable flowspec proto=tcp:srcip=90.107.69.171:sport=59365
1: tcp 6 21599 ESTABLISHED src=9Х.107.69.XX dst=178.170.172.xxx sport=59365 dport=22 pkts=1659 bytes=135488 src=178.170.172.xxx dst=xx.107.69.xxx sport=22 dport=59365 pkts=1193 bytes=210361 [ASSURED] mark=0 rid=133427 use=1
Total flows: 1
• montre gout pake – pral pèmèt ou wè estatistik sou pakè yo
• montre firewall koule - Montre kontè pake firewall ansanm ak koule pake.

Nou kapab tou itilize zouti dyagnostik rezo debaz ki soti dirèkteman nan routeur EDGE la:

• ping ip PAWÒL
• ping ip WORD size SIZE count COUNT nofrag – ping ki endike gwosè done yo voye yo ak kantite chèk yo, epi tou entèdi fwagmantasyon gwosè pake yo.
• traceroute ip PAWÒL

Sekans dyagnostik operasyon firewall sou Edge

1. Lanse montre firewall epi gade règ filtraj koutim enstale nan tablo usr_rules la
2. Nou gade nan chèn POSTROUTIN epi kontwole kantite pake ki tonbe lè l sèvi avèk jaden DROP la. Si gen yon pwoblèm ak routage asimetri, nou pral anrejistre yon ogmantasyon nan valè.
   Ann fè lòt chèk:
   • Ping ap travay nan yon direksyon epi li pa nan direksyon opoze a
   • ping ap travay, men sesyon TCP yo p ap etabli.
3. Nou gade pwodiksyon enfòmasyon sou adrès IP - montre ipset
4. Pèmèt antre sou règ pare-feu nan sèvis Edge
5. Nou gade evènman yo nan jounal la - montre log swiv
6. Nou tcheke koneksyon lè l sèvi avèk rule_id obligatwa - montre flowtable rule_id
7. Pa vle di nan montre flowstats Nou konpare koneksyon aktyèl yo ki enstale aktyèl yo ak maksimòm ki pèmèt (Kapasite Total Flow) nan konfigirasyon aktyèl la. Ou ka wè konfigirasyon ak limit ki disponib nan VMware NSX Edge. Si w enterese, mwen ka pale sou sa nan pwochen atik la.

Ki lòt bagay ou ka li sou blog la? Cloud4Y

→ Viris ki reziste CRISPR yo bati "abri" pou pwoteje genòm kont anzim ki pénétrer ADN.
→ Ki jan bank lan echwe?
→ Teyori a Great Snowflake
→ Entènèt sou balon
→ Pentesters nan forefront de cybersecurity

Abònman ak nou Telegram-channel pou ou pa rate pwochen atik la! Nou ekri pa plis pase de fwa pa semèn epi sèlman sou biznis. Nou raple w ke startups ka resevwa 1 RUB. soti nan Cloud000Y. Ou ka jwenn kondisyon ak fòm aplikasyon pou moun ki enterese sou sit entènèt nou an: bit.ly/2sj6dPK

Sous: www.habr.com