Paket süzgüçini, tor salgysynyň terjimesini we ýadro iş wagtynyň parametrlerini nädip düzmeli - 2-nji bölüm

1-nji bölümde (\ Statik tor marşrutyny gurmak) wada berlişi ýaly, bu makalada (RHCE seriýasynyň 2-nji bölümi), Red Hat Enterprise Linux 7-de paket süzgüçleri we tor salgysynyň terjimesi (NAT) bilen başlarys. Käbir şertler üýtgese ýa-da zerurlyklar ýüze çyksa, işleýän ýadrosyň özüni alyp barşyny üýtgetmek üçin iş wagtynyň ýadrosynyň parametrlerini düzmek.

RHEL 7-de tor paketiniň süzülmesi

Paket süzgüçleri barada aýdanymyzda, gorag diwary tarapyndan ýerine ýetirilýän prosese ýüzlenýäris, onda her bir maglumat paketiniň üstünden geçmäge synanyşýan sözbaşy okalýar. Soň bolsa, ulgam dolandyryjysy tarapyndan öň kesgitlenen düzgünlere esaslanyp zerur çäreleri görmek bilen paketini süzýär.

Mümkin bilşiňiz ýaly, RHEL 7-den başlap, diwar gorag düzgünlerini dolandyrýan esasy hyzmat firewalld. Iptables ýaly, tor paketlerini barlamak we dolandyrmak üçin Linux ýadrosyndaky netfilter moduly bilen gürleşýär. “Iptables” -den tapawutlylykda, täzelenmeler işjeň birikmeleri kesmezden derrew güýje girip biler - hyzmaty täzeden açmaly dälsiňiz.

“Firewalld” -yň başga bir artykmaçlygy, öňünden düzülen hyzmat atlaryna esaslanýan düzgünleri kesgitlemäge mümkinçilik berýär (bir minutda has köp).

1-nji bölümde aşakdaky ssenariýany ulandyk:

Şeýle-de bolsa, mysaly ýönekeýleşdirmek üçin 2-nji marşrutizatorda gorag diwaryny öçürendigimizi ýadyňyzdan çykararsyňyz, sebäbi entek paket süzgüçini ýapmadyk. Geliň, belli bir hyzmat ýa-da barmaly ýerdäki port üçin niýetlenen gelýän paketleri nädip işledip biljekdigimizi göreliň.

Ilki bilen, enp0s3 (192.168.0.19) -da enp0s8 (10.0.0.18) girýän traffige rugsat bermek üçin hemişelik düzgün goşalyň:

# firewall-cmd --permanent --direct --add-rule ipv4 filter FORWARD 0 -i enp0s3 -o enp0s8 -j ACCEPT

Aboveokardaky buýruk düzgüni /etc/firewalld/direct.xml ýatda saklar:

# cat /etc/firewalld/direct.xml

Soňra düzgüniň derrew güýje girmegine mümkinçilik beriň:

# firewall-cmd --direct --add-rule ipv4 filter FORWARD 0 -i enp0s3 -o enp0s8 -j ACCEPT

Indi RHEL 7 gutusyndan web serwerine telnet edip, iki maşynyň arasyndaky TCP traffigine gözegçilik etmek üçin tcpdump-i täzeden işledip bilersiňiz, bu gezek 2-nji marşrutizatorda gorag diwary açyk.

# telnet 10.0.0.20 80
# tcpdump -qnnvvv -i enp0s3 host 10.0.0.20

Diňe 192.168.0.18-den web serwerine (80-nji port) gelýän birikmelere rugsat bermek we 192.168.0.0/24 torundaky beýleki çeşmelerden birikmeleri blokirlemek isleseňiz näme etmeli?

Web serweriniň gorag diwaryna aşakdaky düzgünleri goşuň:

# firewall-cmd --add-rich-rule 'rule family="ipv4" source address="192.168.0.18/24" service name="http" accept'
# firewall-cmd --add-rich-rule 'rule family="ipv4" source address="192.168.0.18/24" service name="http" accept' --permanent
# firewall-cmd --add-rich-rule 'rule family="ipv4" source address="192.168.0.0/24" service name="http" drop'
# firewall-cmd --add-rich-rule 'rule family="ipv4" source address="192.168.0.0/24" service name="http" drop' --permanent

Indi web serwerine, 192.168.0.18-den we 192.168.0.0/24-de käbir beýleki enjamlardan HTTP haýyşlaryny edip bilersiňiz. Birinji ýagdaýda birikme üstünlikli tamamlanmaly, ikinjisinde bolsa ahyrsoňy gutarýar.

Munuň üçin aşakdaky buýruklaryň islendigi hile eder:

# telnet 10.0.0.20 80
# wget 10.0.0.20

Baý düzgünler barada has giňişleýin maglumat üçin Fedora Taslamasy Wiki-de Firewalld baý dil resminamalaryny barlamagy maslahat berýärin.

RHEL 7-de tor salgysynyň terjimesi

Tor salgysynyň terjimesi (NAT), hususy ulgamdaky kompýuterler toparyna (olaryň diňe biri bolup biler) özboluşly jemgyýetçilik IP adresi berlen prosesdir. Netijede, toruň içindäki şahsy IP adresi bilen henizem özboluşly tanalýarlar, ýöne daşardan hemmesi birmeňzeş.