പാക്കറ്റ് ഫിൽട്ടറിംഗ്, നെറ്റ്uവർക്ക് വിലാസ വിവർത്തനം, കേർണൽ റൺടൈം പാരാമീറ്ററുകൾ സജ്ജീകരിക്കൽ എന്നിവ എങ്ങനെ നടത്താം - ഭാഗം 2


ഭാഗം 1 (\സ്റ്റാറ്റിക് നെറ്റ്uവർക്ക് റൂട്ടിംഗ് സജ്ജീകരിക്കുക) വാഗ്ദാനം ചെയ്തതുപോലെ, ഈ ലേഖനത്തിൽ (RHCE സീരീസിന്റെ ഭാഗം 2) Red Hat Enterprise Linux 7-ൽ പാക്കറ്റ് ഫിൽട്ടറിംഗിന്റെയും നെറ്റ്uവർക്ക് വിലാസ വിവർത്തനത്തിന്റെയും (NAT) തത്വങ്ങൾ അവതരിപ്പിച്ചുകൊണ്ട് ഞങ്ങൾ ആരംഭിക്കും. ചില വ്യവസ്ഥകൾ മാറുകയോ ആവശ്യങ്ങൾ ഉണ്ടാകുകയോ ചെയ്താൽ, പ്രവർത്തിക്കുന്ന കേർണലിന്റെ സ്വഭാവം പരിഷ്കരിക്കുന്നതിന് റൺടൈം കേർണൽ പാരാമീറ്ററുകൾ സജ്ജീകരിക്കുന്നു.

RHEL 7-ൽ നെറ്റ്uവർക്ക് പാക്കറ്റ് ഫിൽട്ടറിംഗ്

പാക്കറ്റ് ഫിൽട്ടറിംഗിനെക്കുറിച്ച് സംസാരിക്കുമ്പോൾ, അതിലൂടെ കടന്നുപോകാൻ ശ്രമിക്കുന്ന ഓരോ ഡാറ്റ പാക്കറ്റിന്റെയും തലക്കെട്ട് വായിക്കുന്ന ഒരു ഫയർവാൾ നടത്തുന്ന ഒരു പ്രക്രിയയെ ഞങ്ങൾ പരാമർശിക്കുന്നു. തുടർന്ന്, സിസ്റ്റം അഡ്uമിനിസ്uട്രേറ്റർ മുമ്പ് നിർവചിച്ചിട്ടുള്ള നിയമങ്ങളെ അടിസ്ഥാനമാക്കി ആവശ്യമായ നടപടി സ്വീകരിച്ചുകൊണ്ട് ഇത് പാക്കറ്റിനെ ഫിൽട്ടർ ചെയ്യുന്നു.

നിങ്ങൾക്കറിയാവുന്നതുപോലെ, RHEL 7 മുതൽ, ഫയർവാൾ നിയമങ്ങൾ നിയന്ത്രിക്കുന്ന സ്ഥിരസ്ഥിതി സേവനം ഫയർവാൾഡ് ആണ്. iptables പോലെ, നെറ്റ്uവർക്ക് പാക്കറ്റുകൾ പരിശോധിക്കുന്നതിനും കൈകാര്യം ചെയ്യുന്നതിനുമായി ഇത് ലിനക്സ് കേർണലിലെ നെറ്റ്ഫിൽറ്റർ മൊഡ്യൂളുമായി സംസാരിക്കുന്നു. iptables പോലെയല്ല, സജീവമായ കണക്ഷനുകളെ തടസ്സപ്പെടുത്താതെ തന്നെ അപ്uഡേറ്റുകൾ ഉടൻ പ്രാബല്യത്തിൽ വരും - നിങ്ങൾ സേവനം പുനരാരംഭിക്കേണ്ടതില്ല.

ഫയർവാൾഡിന്റെ മറ്റൊരു നേട്ടം, മുൻകൂട്ടി ക്രമീകരിച്ച സേവന നാമങ്ങളെ അടിസ്ഥാനമാക്കി നിയമങ്ങൾ നിർവചിക്കാൻ ഇത് ഞങ്ങളെ അനുവദിക്കുന്നു (ഒരു മിനിറ്റിനുള്ളിൽ കൂടുതൽ).

ഭാഗം 1 ൽ, ഞങ്ങൾ ഇനിപ്പറയുന്ന സാഹചര്യം ഉപയോഗിച്ചു:

എന്നിരുന്നാലും, ഞങ്ങൾ ഇതുവരെ പാക്കറ്റ് ഫിൽട്ടറിംഗ് കവർ ചെയ്തിട്ടില്ലാത്തതിനാൽ ഉദാഹരണം ലളിതമാക്കാൻ ഞങ്ങൾ റൂട്ടർ #2-ൽ ഫയർവാൾ പ്രവർത്തനരഹിതമാക്കിയത് നിങ്ങൾ ഓർക്കും. ലക്ഷ്യസ്ഥാനത്തെ ഒരു നിർദ്ദിഷ്ട സേവനത്തിനോ പോർട്ടിനോ വേണ്ടി ഉദ്ദേശിച്ചിട്ടുള്ള ഇൻകമിംഗ് പാക്കറ്റുകൾ എങ്ങനെ പ്രവർത്തനക്ഷമമാക്കാമെന്ന് ഇപ്പോൾ നോക്കാം.

ആദ്യം, enp0s3 (192.168.0.19) മുതൽ enp0s8 (10.0.0.18) വരെയുള്ള ഇൻബൗണ്ട് ട്രാഫിക് അനുവദിക്കുന്നതിന് ഒരു സ്ഥിരമായ നിയമം ചേർക്കാം:

# firewall-cmd --permanent --direct --add-rule ipv4 filter FORWARD 0 -i enp0s3 -o enp0s8 -j ACCEPT

മുകളിലുള്ള കമാൻഡ് റൂൾ /etc/firewalld/direct.xml എന്നതിലേക്ക് സംരക്ഷിക്കും:

# cat /etc/firewalld/direct.xml

തുടർന്ന് അത് ഉടനടി പ്രാബല്യത്തിൽ വരുന്നതിന് നിയമം പ്രാപ്തമാക്കുക:

# firewall-cmd --direct --add-rule ipv4 filter FORWARD 0 -i enp0s3 -o enp0s8 -j ACCEPT

ഇപ്പോൾ നിങ്ങൾക്ക് RHEL 7 ബോക്സിൽ നിന്ന് വെബ് സെർവറിലേക്ക് ടെൽനെറ്റ് ചെയ്യാനും രണ്ട് മെഷീനുകൾക്കിടയിലുള്ള TCP ട്രാഫിക് നിരീക്ഷിക്കാൻ tcpdump വീണ്ടും പ്രവർത്തിപ്പിക്കാനും കഴിയും, ഇത്തവണ റൂട്ടർ #2 ലെ ഫയർവാൾ പ്രവർത്തനക്ഷമമാക്കി.

# telnet 10.0.0.20 80
# tcpdump -qnnvvv -i enp0s3 host 10.0.0.20

192.168.0.18 മുതൽ വെബ് സെർവറിലേക്ക് (പോർട്ട് 80) ഇൻകമിംഗ് കണക്ഷനുകൾ മാത്രം അനുവദിക്കാനും 192.168.0.0/24 നെറ്റ്uവർക്കിലെ മറ്റ് ഉറവിടങ്ങളിൽ നിന്നുള്ള കണക്ഷനുകൾ തടയാനും നിങ്ങൾ ആഗ്രഹിക്കുന്നുവെങ്കിൽ?

വെബ് സെർവറിന്റെ ഫയർവാളിൽ, ഇനിപ്പറയുന്ന നിയമങ്ങൾ ചേർക്കുക:

# firewall-cmd --add-rich-rule 'rule family="ipv4" source address="192.168.0.18/24" service name="http" accept'
# firewall-cmd --add-rich-rule 'rule family="ipv4" source address="192.168.0.18/24" service name="http" accept' --permanent
# firewall-cmd --add-rich-rule 'rule family="ipv4" source address="192.168.0.0/24" service name="http" drop'
# firewall-cmd --add-rich-rule 'rule family="ipv4" source address="192.168.0.0/24" service name="http" drop' --permanent

ഇപ്പോൾ നിങ്ങൾക്ക് 192.168.0.18 മുതൽ വെബ് സെർവറിലേക്കും മറ്റേതെങ്കിലും മെഷീനിൽ നിന്നും 192.168.0.0/24 ലും HTTP അഭ്യർത്ഥനകൾ നടത്താം. ആദ്യ സന്ദർഭത്തിൽ കണക്ഷൻ വിജയകരമായി പൂർത്തിയാകണം, രണ്ടാമത്തേതിൽ അത് കാലഹരണപ്പെടും.

അങ്ങനെ ചെയ്യുന്നതിന്, ഇനിപ്പറയുന്ന ഏതെങ്കിലും കമാൻഡുകൾ ട്രിക്ക് ചെയ്യും:

# telnet 10.0.0.20 80
# wget 10.0.0.20

സമ്പന്നമായ നിയമങ്ങളെക്കുറിച്ചുള്ള കൂടുതൽ വിശദാംശങ്ങൾക്കായി ഫെഡോറ പ്രോജക്റ്റ് വിക്കിയിലെ ഫയർവാൾഡ് റിച്ച് ലാംഗ്വേജ് ഡോക്യുമെന്റേഷൻ പരിശോധിക്കാൻ ഞാൻ നിങ്ങളെ ശക്തമായി ഉപദേശിക്കുന്നു.

RHEL 7-ലെ നെറ്റ്uവർക്ക് വിലാസ വിവർത്തനം

നെറ്റ്uവർക്ക് അഡ്രസ് ട്രാൻസ്ലേഷൻ (NAT) എന്നത് ഒരു സ്വകാര്യ നെറ്റ്uവർക്കിലെ ഒരു കൂട്ടം കമ്പ്യൂട്ടറുകൾക്ക് (അത് അവയിലൊന്ന് മാത്രമായിരിക്കാം) ഒരു അദ്വിതീയ പൊതു ഐപി വിലാസം നൽകുന്ന പ്രക്രിയയാണ്. തൽഫലമായി, നെറ്റ്uവർക്കിനുള്ളിലെ അവരുടെ സ്വന്തം സ്വകാര്യ ഐപി വിലാസം ഉപയോഗിച്ച് അവ ഇപ്പോഴും അദ്വിതീയമായി തിരിച്ചറിയപ്പെടുന്നു, എന്നാൽ പുറത്ത് അവയെല്ലാം ഒരേപോലെയാണ് കാണപ്പെടുന്നത്.