အချို့ကိစ္စများတွင်၊ virtual router ကိုစဖွင့်သောအခါတွင် ပြဿနာများ ဖြစ်ပေါ်လာနိုင်သည်။ ဥပမာအားဖြင့်၊ port forwarding (NAT) သည် အလုပ်မလုပ်ဘဲ Firewall စည်းမျဉ်းများကို ကိုယ်တိုင်သတ်မှတ်ရာတွင် ပြဿနာရှိနေသည်။ သို့မဟုတ် သင်သည် router ၏မှတ်တမ်းများရယူရန်၊ ချန်နယ်၏လုပ်ဆောင်ချက်ကိုစစ်ဆေးရန်နှင့် ကွန်ရက်ရောဂါရှာဖွေမှုများကိုလုပ်ဆောင်ရန်သာလိုသည်။ Cloud ဝန်ဆောင်မှုပေးသူ Cloud4Y က ၎င်းကို မည်သို့လုပ်ဆောင်ကြောင်း ရှင်းပြသည်။
virtual router နှင့်အလုပ်လုပ်ခြင်း။
ပထမဦးစွာ၊ ကျွန်ုပ်တို့သည် virtual router - EDGE သို့ဝင်ရောက်ခွင့်ကို configure လုပ်ရန်လိုအပ်သည်။ ၎င်းကိုလုပ်ဆောင်ရန်၊ ကျွန်ုပ်တို့သည် ၎င်း၏ဝန်ဆောင်မှုများကိုထည့်သွင်းပြီး သင့်လျော်သောတက်ဘ် - EDGE ဆက်တင်များသို့သွားပါ။ အဲဒီမှာ SSH Status ကိုဖွင့်ပြီး စကားဝှက်တစ်ခုသတ်မှတ်ပြီး အပြောင်းအလဲတွေကို သိမ်းဆည်းဖို့ သေချာပါစေ။
အကယ်၍ ကျွန်ုပ်တို့သည် တင်းကျပ်သော Firewall စည်းမျဉ်းများကို အသုံးပြုပါက၊ အရာအားလုံးကို ပုံသေအားဖြင့် တားမြစ်ထားသည့်အခါ၊ SSH port မှတစ်ဆင့် router ကိုယ်တိုင်သို့ ချိတ်ဆက်မှုများကို ခွင့်ပြုနိုင်သည့် စည်းမျဉ်းများကို ပေါင်းထည့်သည်-
ထို့နောက် ကျွန်ုပ်တို့သည် မည်သည့် SSH client၊ ဥပမာ PuTTY နှင့် ချိတ်ဆက်ပြီး ကွန်ဆိုးလ်သို့ ရောက်ပါသည်။
ကွန်ဆိုးလ်တွင်၊ ကျွန်ုပ်တို့အတွက် ညွှန်ကြားချက်များ ရရှိလာမည်ဖြစ်ပြီး၊ အသုံးပြု၍ မြင်နိုင်သည့် စာရင်းတစ်ခု ဖြစ်လာသည်-
စာရင်း
အဘယ်အမိန့်တော်များသည် ကျွန်ုပ်တို့အတွက် အသုံးဝင်နိုင်သနည်း။ ဤသည်မှာ အသုံးဝင်ဆုံးစာရင်းတစ်ခုဖြစ်သည်။
- interface ကိုပြသပါ။ — ၎င်းတို့တွင် ရရှိနိုင်သော အင်တာဖေ့စ်များနှင့် ထည့်သွင်းထားသော IP လိပ်စာများကို ပြသပါမည်။
- ပြပွဲမှတ်တမ်း - router မှတ်တမ်းများကိုပြသလိမ့်မည်။
- မှတ်တမ်း follow လုပ်ပါ။ — အဆက်မပြတ်မွမ်းမံမှုများဖြင့် မှတ်တမ်းကို အချိန်နှင့်တပြေးညီ ကြည့်ရှုနိုင်ရန် ကူညီပေးပါမည်။ စည်းမျဉ်းတစ်ခုစီတွင် NAT သို့မဟုတ် Firewall တွင် Enable logging option ပါရှိပြီး၊ ဖွင့်ထားသောအခါတွင်၊ ဖြစ်ရပ်များကို မှတ်တမ်းတွင် မှတ်တမ်းတင်ထားမည်ဖြစ်ပြီး၊ ၎င်းသည် ရောဂါရှာဖွေမှုများကို ခွင့်ပြုမည်ဖြစ်သည်။
- flowtable ကိုပြပါ။ — သတ်မှတ်ထားသောချိတ်ဆက်မှုများ၏ဇယားတစ်ခုလုံးနှင့်၎င်းတို့၏ parameters များကိုပြသလိမ့်မည်။
နမူနာ1: tcp 6 21599 ESTABLISHED src=9Х.107.69.ХХХ dst=178.170.172.XXX sport=59365 dport=22 pkts=293 bytes=22496 src=178.170.172.ХХХ dst=91.107.69.173 sport=22 dport=59365 pkts=206 bytes=83569 [ASSURED] mark=0 rid=133427 use=1
- flowtable topN 10 ကိုပြပါ။ — ဤဥပမာ 10 တွင် လိုအပ်သော လိုင်းအရေအတွက်ကို ပြသရန် ခွင့်ပြုသည်။
- flowtable topN 10 ကို pkts အလိုက် အမျိုးအစားခွဲပြပါ။ — အသေးဆုံးမှ အကြီးဆုံးသို့ ပက်ကေ့ခ်ျအရေအတွက်အလိုက် ချိတ်ဆက်မှုများကို စီရန်ကူညီပေးပါမည်။
- flowtable topN 10 အမျိုးအစားအလိုက် ဘိုက်များကို ပြသပါ။ — အသေးငယ်ဆုံးမှအကြီးဆုံးသို့လွှဲပြောင်းပေးသည့် bytes အရေအတွက်အလိုက် ချိတ်ဆက်မှုများကို စီရန်ကူညီပေးပါမည်။
- flowtable rule-id ID topN 10 ကို ပြပါ။ — လိုအပ်သောစည်းမျဉ်း ID ဖြင့်ချိတ်ဆက်မှုများကိုပြသရန်ကူညီလိမ့်မည်။
- flowtable flowspec SPEC ကိုပြပါ။ — TCP ပရိုတိုကောနှင့် အရင်းအမြစ် IP လိပ်စာ 9Х.107.69 ကို အသုံးပြု၍ ရွေးချယ်မှုအတွက် — — ပိုမိုပြောင်းလွယ်ပြင်လွယ်ရှိသော ချိတ်ဆက်မှုများကို ရွေးချယ်ရန်အတွက် — လိုအပ်သော စစ်ထုတ်ခြင်းစည်းမျဉ်းများကို သတ်မှတ်ပေးသည့် ဥပမာ- proto=tcp:srcip=59365Х.9.ХХХ:sport=107.69၊ ပေးပို့သူ ပို့တ် 59365 မှ XX
နမူနာ> show flowtable flowspec proto=tcp:srcip=90.107.69.171:sport=59365
1: tcp 6 21599 ESTABLISHED src=9Х.107.69.XX dst=178.170.172.xxx sport=59365 dport=22 pkts=1659 bytes=135488 src=178.170.172.xxx dst=xx.107.69.xxx sport=22 dport=59365 pkts=1193 bytes=210361 [ASSURED] mark=0 rid=133427 use=1
Total flows: 1 - packet drops ကိုပြသပါ။ - ပက်ကေ့ဂျ်များပေါ်တွင် စာရင်းအင်းများကို ကြည့်ရှုနိုင်မည်ဖြစ်သည်။
- firewall စီးဆင်းမှုကိုပြသပါ။ - ပက်ကတ်စီးဆင်းမှုများနှင့်အတူ firewall packet ကောင်တာများကိုပြသသည်။
ကျွန်ုပ်တို့သည် EDGE router မှ အခြေခံကွန်ရက်ရောဂါရှာဖွေရေးကိရိယာများကိုလည်း အသုံးပြုနိုင်ပါသည်။
- ping ip WORD
- ping ip WORD အရွယ်အစား SIZE ရေတွက် COUNT nofrag – ပေးပို့လိုက်သော ဒေတာအရွယ်အစားနှင့် စစ်ဆေးမှုအရေအတွက်တို့ကို ညွှန်ပြကာ အစုံလိုက် ပက်ကတ်အရွယ်အစားကို အပိုင်းပိုင်းခွဲခြင်းကိုလည်း တားမြစ်ထားသည်။
- traceroute ip WORD
Edge ရှိ Firewall လုပ်ဆောင်ချက်ကို စစ်ဆေးခြင်း၏ ဆက်တိုက်
- စတင်လိုက်ပါ firewall ကိုပြပါ။ usr_rules ဇယားရှိ ထည့်သွင်းထားသော စိတ်ကြိုက်စစ်ထုတ်ခြင်းစည်းမျဉ်းများကို ကြည့်ရှုပါ။
- ကျွန်ုပ်တို့သည် POSTROUTIN ကွင်းဆက်ကို ကြည့်ရှုပြီး DROP အကွက်ကို အသုံးပြု၍ ကျဆင်းသွားသော ပက်ကတ်အရေအတွက်ကို ထိန်းချုပ်ပါသည်။ asymmetric routing တွင် ပြဿနာရှိပါက၊ တန်ဖိုးများ တိုးလာမှုကို မှတ်တမ်းတင်ပါမည်။
နောက်ထပ်စစ်ဆေးမှုများ လုပ်ဆောင်ကြပါစို့။- Ping သည် ဦးတည်ချက်တစ်ခုတည်းတွင် လုပ်ဆောင်မည်ဖြစ်ပြီး ဆန့်ကျင်ဘက် ဦးတည်ချက်မဟုတ်ပေ။
- ping သည် အလုပ်လုပ်မည်ဖြစ်သော်လည်း TCP ဆက်ရှင်များကို တည်ဆောက်မည်မဟုတ်ပါ။
- IP လိပ်စာများအကြောင်း အချက်အလက်များ၏ ရလဒ်ကို ကျွန်ုပ်တို့ ကြည့်ရှုသည် - ipset ကိုပြပါ။
- Edge ဝန်ဆောင်မှုများတွင် Firewall စည်းမျဉ်းကို လော့ဂ်အင်ဖွင့်ပါ။
- မှတ်တမ်းထဲက အဖြစ်အပျက်တွေကို ကြည့်လိုက်တယ်၊ မှတ်တမ်း follow လုပ်ပါ။
- လိုအပ်သော rule_id ကိုအသုံးပြု၍ ချိတ်ဆက်မှုများကို စစ်ဆေးပါ - flowtable rule_id ကိုပြပါ။
- အားဖြင့် flowstats ကိုပြသပါ။ ကျွန်ုပ်တို့သည် လက်ရှိထည့်သွင်းထားသည့် Current Flow Entries ချိတ်ဆက်မှုများကို လက်ရှိဖွဲ့စည်းမှုတွင် အများဆုံးခွင့်ပြုထားသော (စုစုပေါင်းစီးဆင်းမှုစွမ်းရည်) နှင့် နှိုင်းယှဉ်ပါသည်။ ရနိုင်သောဖွဲ့စည်းပုံများနှင့်ကန့်သတ်ချက်များကို VMware NSX Edge တွင်ကြည့်ရှုနိုင်ပါသည်။ စိတ်ဝင်စားတယ်ဆိုရင်တော့ ဒီအကြောင်းကို နောက်ဆောင်းပါးမှာ ပြောပြနိုင်ပါတယ်။
ဘလော့ဂ်မှာ တခြားဘာတွေဖတ်နိုင်မလဲ။
→
→
→
→
→
ကျွန်ုပ်တို့ထံ စာရင်းသွင်းပါ။
source: www.habr.com