RHCE考试准备指南
第1部分
:如何在RHEL 7设置和测试静态路由
第2部分 :
如何执行数据包过滤,网络地址转换和设置内核运行时参数
第3部分 :
如何制造和提供系统活动报告使用Linux工具集
第4部分 :
使用Shell脚本自动运行的Linux系统维护任务
第10部分 :
安装和RHEL / CentOS 7配置仅缓存DNS服务器
第11部分 :
安装和配置网络绑定或RHEL / CentOS 7组队
要查看费用和注册在你的国家考试,检查
RHCE认证页面。 在这个系列
RHCE和下的第
1部分中,我们将介绍基本的,但典型的情况下,静态路由,包过滤和网络地址转换的原则发挥作用。
RHCE:设置和测试网络静态路由 - 第1部分
红帽企业版Linux 7中的静态路由
现代网络的奇迹之一是能够连接多组计算机的设备的大量可用性,无论是相对较小的数量,并且限制在同一建筑物,城市,国家或大陆中的单个房间或几个机器。 然而,为了在任何情况下有效地实现这一点,网络分组需要被路由,或者换句话说,它们从源到目的地遵循的路径必须以某种方式被排除。 静态路由是为默认网络数据包指定路由的过程,默认网络数据包由称为默认网关的网络设备提供。除非通过静态路由另外指定,否则网络分组被定向到默认网关;使用静态路由,基于预定义标准(例如分组目的地)来定义其他路径。 让我们为本教程定义以下场景。我们有一个红帽企业Linux 7盒连接到路由器 #1 [192.168.0.1]访问互联网和机器 192.168.0.0/24。 第二路由器 (路由器#2)具有两个网络接口卡 :enp0s3也被连接到 路由器#1访问互联网并与RHEL 7箱和其他机器在同一网络中进行通信,而其它 (enp0s8)用于授予访问 10.0.0.0/24网络中内部服务驻留,比如网络和/或数据库服务器。 此方案如下图所示:
静态路由网络图
# ip route show
检查当前路由表
- 默认网关的IP地址是192.168.0.1,可以通过enp0s3 NIC进行访问。
- 当系统启动时,它启用了零配置路由169.254.0.0/16(以防万一)。 简言之,如果机器设置为通过DHCP获取IP地址,但由于某种原因无法这样做,则会自动在此网络中分配一个地址。 底线是,这条线路将允许我们进行沟通,也可以通过enp0s3,与谁没有获得从DHCP服务器获取IP地址的机器。
- 最后,但并非最不重要的,我们可以用192.168.0.0/24网络内的其他盒子通过enp0s3,IP地址为192.168.0.18通信。
# ip link show如果他们中的一个失败,请提起:
# ip link set dev enp0s8 up并分配 10.0.0.0/24网络给它一个IP地址:
# ip addr add 10.0.0.17 dev enp0s8糟糕!我们在IP地址中犯了一个错误。我们必须删除我们前面分配的一个,然后添加正确的 (10.0.0.18):
# ip addr del 10.0.0.17 dev enp0s8 # ip addr add 10.0.0.18 dev enp0s8现在,请注意,您只能通过本身已可访问的网关添加到目标网络的路由。出于这个原因,我们需要在 192.168.0.0/24范围内分配一个IP地址 ,enp0s3使我们的RHEL 7箱可以用它沟通:
# ip addr add 192.168.0.19 dev enp0s3最后,我们需要启用数据包转发:
# echo "1" > /proc/sys/net/ipv4/ip_forward和停止/禁用(只是暂时 - 直到下一篇文章中我们涵盖包过滤)防火墙:
# systemctl stop firewalld # systemctl disable firewalld回到我们的 RHEL 7箱 (192.168.0.18),让我们通过配置 192.168.0.19(enp0s3 路由器#2)路线 10.0.0.0/24:
# ip route add 10.0.0.0/24 via 192.168.0.19之后,路由表如下所示:
# ip route show
确认网络路由表
# ip route add 192.168.0.0/24 via 10.0.0.18您可以测试基本连接使用 ping: 在 RHEL 7中,运行
# ping -c 4 10.0.0.20其中 ,10.0.0.20是 10.0.0.0/24网络中的网络服务器的IP地址。 在Web服务器 (10.0.0.20),运行
# ping -c 192.168.0.18其中 ,192.168.0.18是,你会记得,我们的RHEL 7机器的IP地址。 或者,我们可以使用 tcpdump的 (您可能需要使用 yum安装它 安装tcpdump的 )来检查我们的RHEL 7箱,并在 10.0.0.20 Web服务器之间通过TCP的双向通信。 为此,让我们在第一台机器上启动日志记录:
# tcpdump -qnnvvv -i enp0s3 host 10.0.0.20并从Web服务器在同一系统让我们 的telnet另一个终端端口 80(假定 Apache是监听该端口;否则,说明在下面的命令正确的端口):
# telnet 10.0.0.20 80tcpdump的日志应如下所示:
检查服务器之间的网络通信
# Enable networking on this system? NETWORKING=yes # Hostname. Should match the value in /etc/hostname HOSTNAME=yourhostnamehere # Default gateway GATEWAY=XXX.XXX.XXX.XXX # Device used to connect to default gateway. Replace X with the appropriate number. GATEWAYDEV=enp0sX当涉及到设置特定变量和值对每个NIC(因为我们没有对路由器#2),你必须编辑 / etc / sysconfig / network中的脚本/的ifcfg-enp0s3和 / etc / sysconfig / network中的脚本/的ifcfg -enp0s8。 根据我们的情况,
TYPE=Ethernet BOOTPROTO=static IPADDR=192.168.0.19 NETMASK=255.255.255.0 GATEWAY=192.168.0.1 NAME=enp0s3 ONBOOT=yes和
TYPE=Ethernet BOOTPROTO=static IPADDR=10.0.0.18 NETMASK=255.255.255.0 GATEWAY=10.0.0.1 NAME=enp0s8 ONBOOT=yes分别 enp0s3和 enp0s8。 至于我们的客户机 (192.168.0.18)路由 ,我们需要编辑/ etc / sysconfig / network中的脚本/路由enp0s3:
10.0.0.0/24 via 192.168.0.19 dev enp0s3现在 重新启动您的系统,你应该在表格中看到这条路线。
概要
在这篇文章中,我们已经包含在 红帽企业Linux 7静态路由的基本要素。虽然方案可能会有所不同,这里介绍的案例说明所需要的原则和程序,以执行此任务。 在结束之前,我想建议你看一看 第4章在Linux文档项目网站上这里所涉及的主题更详细的信息 保护和优化的Linux部分。 有关 保护和优化Linux的免费电子书 :黑客入侵解决方案(V.3.0) -这 800+电子书包含了Linux的安全提示全面的收集,以及如何使用它们安全,轻松地配置基于Linux的应用和服务。
Linux安全和优化手册
