Diagnostika sieťových pripojení na virtuálnom routeri EDGE

V niektorých prípadoch môžu nastať problémy pri nastavovaní virtuálneho smerovača. Napríklad nefunguje presmerovanie portov (NAT) a/alebo je problém v nastavení samotných pravidiel brány firewall. Alebo stačí získať protokoly smerovača, skontrolovať fungovanie kanála a vykonať diagnostiku siete. Poskytovateľ cloudu Cloud4Y vysvetľuje, ako sa to robí.

Práca s virtuálnym smerovačom

V prvom rade musíme nakonfigurovať prístup k virtuálnemu smerovaču – EDGE. Za týmto účelom vstúpime do jeho služieb a prejdeme na príslušnú kartu - EDGE Settings. Tam povolíme stav SSH, nastavíme heslo a nezabudnite uložiť zmeny.

Ak použijeme prísne pravidlá brány firewall, keď je všetko predvolene zakázané, pridáme pravidlá, ktoré umožňujú pripojenie k samotnému smerovaču cez port SSH:

Potom sa spojíme s ľubovoľným klientom SSH, napríklad PuTTY, a dostaneme sa do konzoly.

V konzole sú nám k dispozícii príkazy, ktorých zoznam je možné zobraziť pomocou:
zoznam

Aké príkazy môžu byť pre nás užitočné? Tu je zoznam najužitočnejších:

• zobraziť rozhranie — zobrazí dostupné rozhrania a na nich nainštalované IP adresy
• zobraziť denník - zobrazí protokoly smerovača
• zobraziť denník sledovať — pomôže vám sledovať denník v reálnom čase s neustálymi aktualizáciami. Každé pravidlo, či už NAT alebo Firewall, má možnosť Povoliť protokolovanie, po povolení sa udalosti budú zaznamenávať do protokolu, čo umožní diagnostiku.
• zobraziť prietokovú tabuľku — zobrazí celú tabuľku vytvorených spojení a ich parametre
  Príklad1: tcp 6 21599 ESTABLISHED src=9Х.107.69.ХХХ dst=178.170.172.XXX sport=59365 dport=22 pkts=293 bytes=22496 src=178.170.172.ХХХ dst=91.107.69.173 sport=22 dport=59365 pkts=206 bytes=83569 [ASSURED] mark=0 rid=133427 use=1
• zobraziť prietokový topN 10 — umožňuje zobraziť požadovaný počet riadkov, v tomto príklade 10
• zobraziť tok topN 10 triediť podľa pkts — pomôže zoradiť spojenia podľa počtu paketov od najmenšieho po najväčší
• zobraziť flowtable topN 10 triedených bajtov — pomôže zoradiť spojenia podľa počtu prenesených bajtov od najmenšieho po najväčšie
• zobraziť tok pravidla ID topN 10 — pomôže zobraziť pripojenia podľa požadovaného ID pravidla
• zobraziť prietokovú špecifikáciu prietoku SPEC — pre flexibilnejší výber spojení, kde SPEC — nastaví potrebné pravidlá filtrovania, napríklad proto=tcp:srcip=9Х.107.69.ХХХ:sport=59365, pre výber pomocou protokolu TCP a zdrojovej IP adresy 9Х.107.69. XX z portu odosielateľa 59365
  Príklad> show flowtable flowspec proto=tcp:srcip=90.107.69.171:sport=59365
1: tcp 6 21599 ESTABLISHED src=9Х.107.69.XX dst=178.170.172.xxx sport=59365 dport=22 pkts=1659 bytes=135488 src=178.170.172.xxx dst=xx.107.69.xxx sport=22 dport=59365 pkts=1193 bytes=210361 [ASSURED] mark=0 rid=133427 use=1
Total flows: 1
• zobraziť poklesy paketov – vám umožní zobraziť štatistiky o balíkoch
• zobraziť toky brány firewall - Zobrazuje počítadlá paketov brány firewall spolu s tokmi paketov.

Priamo z EDGE routera môžeme použiť aj základné nástroje na diagnostiku siete:

• ping ip WORD
• ping ip Veľkosť SLOVA VEĽKOSŤ počet POČET nofrag – ping označuje veľkosť odosielaných dát a počet kontrol a zároveň zakazuje fragmentáciu nastavenej veľkosti paketu.
• traceroute IP WORD

Postupnosť diagnostiky prevádzky brány firewall na Edge

1. Spustiť zobraziť bránu firewall a pozrite sa na nainštalované vlastné pravidlá filtrovania v tabuľke usr_rules
2. Pozeráme sa na reťazec POSTROUTIN a kontrolujeme počet zahodených paketov pomocou poľa DROP. Ak sa vyskytne problém s asymetrickým smerovaním, zaznamenáme nárast hodnôt.
   Vykonajte dodatočné kontroly:
   • Ping bude fungovať jedným smerom a nie opačným smerom
   • ping bude fungovať, ale TCP relácie sa nevytvoria.
3. Pozeráme sa na výstup informácií o IP adresách - zobraziť ipset
4. Povoliť prihlasovanie na pravidlo brány firewall v službách Edge
5. Pozeráme sa na udalosti v denníku - zobraziť denník sledovať
6. Pripojenia kontrolujeme pomocou požadovaného rule_id - show flowtable rule_id
7. Prostredníctvom zobraziť prietokové štatistiky Porovnávame aktuálne nainštalované pripojenia Current Flow Entries s maximálnou povolenou (Total Flow Capacity) v aktuálnej konfigurácii. Dostupné konfigurácie a limity je možné zobraziť vo VMware NSX Edge. Ak máte záujem, môžem o tom hovoriť v ďalšom článku.

Čo si ešte môžete prečítať na blogu? Cloud4Y

→ Vírusy odolné voči CRISPR si budujú „úkryty“ na ochranu genómov pred enzýmami prenikajúcimi do DNA
→ Ako zlyhala banka?
→ Teória veľkej snehovej vločky
→ Internet na balónoch
→ Pentesters v popredí kybernetickej bezpečnosti

Prihláste sa na odber telegram-kanál, aby vám neušiel ďalší článok! Píšeme si maximálne dvakrát do týždňa a len služobne. Pripomíname, že startupy môžu získať 1 000 000 RUB. od Cloud4Y. Podmienky a prihlášku pre záujemcov nájdete na našej stránke: bit.ly/2sj6dPK

Zdroj: hab.com