Діагностика мережевих з'єднань на віртуальному роутері EDGE

У деяких випадках можуть виникнути проблеми з налаштуванням віртуального маршрутизатора. Наприклад, не працює прокидання портів (NAT) та/або проблема в налаштуванні самих правил Firewall. Або просто потрібно отримати логи роботи роутера, перевірити роботу каналу, провести мережну діагностику. Як це робиться, розповідає хмарний провайдер Cloud4Y.

Робота з віртуальним роутером

Насамперед нам потрібно налаштувати доступ до віртуального роутера – EDGE. Для цього входимо у його сервіси та переходимо на відповідну вкладку – EDGE Settings. Там включаємо SSH Status, задаємо пароль і обов'язково зберігаємо зміни.

Якщо ми використовуємо суворі правила Firewall-a, коли заборонено все за умовчанням, то додаємо правила, що дозволяють підключення до роутера по SSH порту:

Після цього підключаємося будь-яким SSH-клієнтом, наприклад PuTTY, і потрапляємо в консоль.

У консолі нам стають доступні команди, перелік яких можна побачити, використовуючи:
список

Які команди можуть стати у нагоді? Наведемо список найкорисніших:

• показати інтерфейс — відображає доступні інтерфейси та встановлені IP-адреси на них
• показати журнал - Покаже логи роутера
• show log follow - Допоможе дивитися лог в реальному часі з постійним оновленням. Кожне правило, будь то NAT або Fierwall, має опцію Enable logging, при включенні якої події фіксуватимуться в лозі, що дозволить провести діагностику.
• show flowtable — покаже всю таблицю встановлених з'єднань та їх параметри
  Приклад1: tcp 6 21599 ESTABLISHED src=9Х.107.69.ХХХ dst=178.170.172.XXX sport=59365 dport=22 pkts=293 bytes=22496 src=178.170.172.ХХХ dst=91.107.69.173 sport=22 dport=59365 pkts=206 bytes=83569 [ASSURED] mark=0 rid=133427 use=1
• show flowtable topN 10 - дозволяє відобразити потрібну кількість рядків, в даному прикладі 10
• show flowtable topN 10 sort-by pkts — допоможе відсортувати з'єднання за кількістю пакетів від меншого до більшого
• show flowtable topN 10 sort-by bytes — допоможе відсортувати з'єднання за кількістю переданих bytes від меншого до більшого
• show flowtable rule-id ID topN 10 - допоможе відобразити з'єднання за потрібним ID правила
• show flowtable flowspec SPEC - Для більш гнучкого відбору з'єднань, де SPEC - задає потрібні правила фільтрації, наприклад proto=tcp:srcip=9Х.107.69.ХХХ:sport=59365, для відбору за протоколом TCP та IP адресою джерела 9Х.107.69.XX з порту відправника 59365
  Приклад> show flowtable flowspec proto=tcp:srcip=90.107.69.171:sport=59365
1: tcp 6 21599 ESTABLISHED src=9Х.107.69.XX dst=178.170.172.xxx sport=59365 dport=22 pkts=1659 bytes=135488 src=178.170.172.xxx dst=xx.107.69.xxx sport=22 dport=59365 pkts=1193 bytes=210361 [ASSURED] mark=0 rid=133427 use=1
Total flows: 1
• show packet drops – дозволить переглянути статистику з пакетів
• show firewall flows — показує лічильники пакетів брандмауера разом із потоками пакетів.

Також ми можемо використовувати основні мережеві інструменти діагностики безпосередньо з роутера EDGE:

• ping ip WORD
• ping ip WORD size SIZE count COUNT nofrag – пропінгувати із зазначенням розміру даних та кількості перевірок, що пересилаються, а також заборонити фрагментацію встановленого розміру пакета.
• traceroute ip WORD

Послідовність діагностики роботи Firewall на Edge

1. запускаємо show firewall і дивимося встановлені правил користувача фільтрації в таблиці usr_rules
2. Дивимося ланцюжок POSTROUTIN та контролюємо кількість скинутих пакетів по полю DROP. За наявності проблеми з асиметричною маршрутизацією ми фіксуватимемо зростання значень.
   Проведемо додаткові перевірки:
   • Робота ping буде в одному напрямку та відсутність у зворотному
   • ping працюватиме, але сесії TCP не встановлюватимуться.
3. Дивимося виведення інформації про IP-адреси show ipset
4. Включаємо логування на правилі firewall у сервісах Edge
5. Дивимося події з логу show log follow
6. Перевіряємо з'єднання за потрібним rule_id — show flowtable rule_id
7. За допомогою show flowstats порівнюємо поточні встановлені з'єднання Current Flow Entries з максимально допустимими (Total Flow Capacity) у поточній конфігурації. Доступні конфігурації та ліміти можна переглянути в VMware NSX Edge. Про це, якщо цікаво, я можу розповісти у статті.

Що ще корисного можна почитати у блозі Cloud4Y

→ Стійкі до CRISPR віруси будують «притулку» для захисту геномів від ДНК-проникаючих ферментів
→ Як «зламався» банк
→ Велика теорія сніжинок
→ Інтернет на повітряних кулях
→ Пентестери на передовій кібербезпеці

Підписуйтесь на наш Telegram-Канал, щоб не пропустити чергову статтю! Пишемо не частіше двох разів на тиждень і лише у справі. Нагадуємо, що стартапи можуть отримати 1 грн. від Cloud000Y. Умови та анкета для бажаючих – на нашому сайті: bit.ly/2sj6dPK

Джерело: habr.com