Interfața de rețea Linux
Interfața de rețea este punctul de prezență al serverului în rețeaua locală. La rândul său, rețeaua locală va avea cel mai probabil acces la rețele globale.
Configurarea unei interfețe de rețea este o problemă tipică la instalarea Colocare server și nu are nimic complicat.
Ce fișiere afectează funcționarea interfeței de rețea în Linux CentOS 5:
/etc/modprobe.conf - modulele kernel pentru diferite dispozitive sunt încărcate aici:
Este convenabil în absența unui server DNS sau când nu este nevoie să raportați aceste nume la întreaga rețea.
/etc/resolv.conf - acest fișier specifică serverul DNS. Serverul DNS este specificat de directiva nameserver
/etc/host.conf - fișierul specifică secvența de utilizare a mecanismelor de rezoluție a numelui. În cazul nostru, folosiți mai întâi / etc / hosts și numai apoi serverul DNS.
/etc/init.d/network - script care întrerupe și pornește operația din rețea
/ proc / sys / net / ipv4 / ip_forward - permite rutarea pentru interfețele dvs., dacă aveți două sau mai multe interfețe, trebuie să o activați. Activarea se face prin trimiterea "1" la acest fișier.
/ etc / sysconfig / network - aici indicăm dacă serverul nostru este accesibil prin rețea, dacă da, ce protocoale și specificați numele de gazdă, adică numele serverului. Portul implicit este recomandat aici.
În / etc / sysconfig / script-uri de rețea / există diferite scripturi care afectează funcționarea interfeței de rețea:
Pentru noi, cele mai importante sunt scripturile ifcfg- *. Acestea descriu setările interfețelor de rețea prezente pe server.
Să vedem ce este în interiorul lor.
Această interfață funcționează utilizând serviciul DHCP.
Calculatorul meu rulează pe DHCP, care este vizibil în mod clar în temeiul directivei BOOTPROTO = dhcp. Adică setările de rețea pe care le primim de la serverul dhcp când încărcăm serverul nostru. Alte directive înseamnă următoarele:
DEVICE = eth0 - modul în care va fi numită interfața noastră, prima interfață este denumită eth0, eth1 secundă și așa mai departe
ONBOOT = da - activați această interfață automat când serverul este pornit. Cred că este probabil ceea ce este necesar.
O interfață loopback este necesară pentru funcționarea normală a sistemului de operare.
Deasupra am considerat interfața care rulează pe protonul dhcp. Dar, de regulă, este necesar să lucrăm cu interfețe personalizate, adică să setăm manual parametrii și ruta despre care vom vorbi puțin mai târziu.
Să configuram interfața de rețea în Linux. Știm că este mereu în joc și nu trebuie să-l atingi deloc.
Fișierul meu de configurare arată astfel:
Apoi, trebuie să reporniți interfața de rețea pentru a citi noile setări
Vom verifica totul
Bold a subliniat site-urile interesante pentru noi în ieșirea comenzii ifconfig. După cum vedem totul este similar cu adevărul și interfața este "ridicată", adică este în modul de lucru.
Pentru mai multă claritate, vom discuta alți parametri ai interfeței de rețea:
- MTU: 1500 este unitatea maximă de transfer. Diferitele rețele și canale de transmisie au rate diferite de schimb. Aceasta determină lungimea maximă a pachetului, a cărui transfer este foarte probabil să apară fără erori. Pentru rețelele Ethernet, valoarea MTU este de 1500 octeți.
- Metric: 1 - cu cât este mai mică această valoare, cu atât este mai bine luată în considerare traseul către această rețea. Pe servere, este posibil ca aceasta să nu trebuiască să fie schimbată. Acest parametru joacă un rol important în funcționarea protocoalelor de rutare.
- Coliziuni: 0 - zero înseamnă că interfața de rețea este OK la nivel fizic.
- RX octeți - câte date sunt acceptate
- TX octeți - câte date au fost trimise
Așa că mergem mai departe. În exemplul de mai sus, după configurarea interfeței de rețea, am restart complet serviciul de rețea. Când există o singură interfață pe server, nu este teribil, dar dacă există mai multe dintre ele, iar altele deja lucrează și își îndeplinesc funcțiile, nu este de dorit să le întrerupeți activitatea. Aici scriptul ifup / ifdown vine la salvarea noastră. Este necesar să reporniți orice interfață de rețea. Un scurt exemplu.
Pasul 1. Facem modificări în / etc / sysconfig / script-uri de rețea / ifcfg-eth0
Pasul 2:
Pasul 3. # ifup eth0
rutare
Rutarea este procesul de găsire a celei mai bune căi de la sursă la destinație. Acesta este un set de reguli pentru care se va transmite traficul. Nu pare să avem de-a face cu asta, dar deja lucrează pentru dvs. Nu mă crede. Acum o să verificăm.
comanda netstat - care permite monitorizarea conexiunilor de rețea ale serverului
În ieșire vom vedea o listă de rețele și cum să ajungem la ele. Adică, ce poartă de acces pentru a ajunge la destinație. Rețineți că atunci când am creat interfața de rețea eth0, am specificat directiva GATEWAY în ifcfg-eth0. Acest gateway a fost marcat ca implicit, care este gateway-ul implicit.
Tot traficul din rețea care nu este descris explicit în tabelul de rutare este trimis prin gateway-ul implicit. În cazul nostru, gateway-ul implicit este -192.168.146.2
Ieșirea comenzii "netstat -r" ne spune următoarele:
Prima linie. Pentru a ajunge la subrețeaua 192.168.146.0 nu avem nevoie de niciun gateway (*), deoarece suntem deja în această rețea
A doua linie este implicită, adică ruta implicită. Tot traficul destinat tuturor celorlalte rețele va trece prin acest gateway.
Steaguri: U este UP, adică ruta este în funcțiune acum
Steaguri: UG - UP, Gateway. Traseul este ridicat și utilizează poarta de acces în activitatea sa
MSS - Maximum Segment Size, definește dimensiunea maximă a pachetului pentru acest traseu.
Fereastra - dimensiunea ferestrei. Dimensiunea maximă a pachetului pe care sistemul este gata să îl accepte.
irtt - timpul inițial de deplasare rotundă, specifică valoarea utilizată la stabilirea conexiunii. Durata călătoriei rotunde - este o lungă perioadă de timp, dacă într-o perioadă în care confirmarea primirii unui pachet nu a fost primită de la gazda aflată la distanță, pachetul va fi trimis din nou.
Iface - indică la ce interfață se aplică traseul
Dacă există mai multe interfețe de rețea pe server, va trebui cel mai probabil să creați manual o tabelă de rutare.
Voi da un exemplu. Avem două interfețe de rețea eth0 și eth1. Prin eth0 primim acces la rețele externe și implicit tot traficul este direcționat prin acesta. Prin eth1 vom avea acces la rețeaua internă 192.168.147.0/24, dar mai important, această rețea are un 192.168.147.1 de server care are o interfață de rețea într-o subrețea 192.168.148.0/24 și ne dorim foarte mult să intre în. Și pentru a ajunge acolo este necesar să înregistrați rutele corecte în sistemul dvs. de operare.
Așa arată masa de rutare în cazul nostru
Adică, pe subrețeaua 192.168.148.0/24 (subrețea internă) ajungem prin eth1 -> 192.168.147.1, serverul care acționează ca un gateway către această subrețea. Totul trece prin gateway-ul implicit. Este foarte simplu. Ei bine, de fapt, cum să ajustați setările la acest lucru.
Portal implicit
Și cel mai important, fișierul în care înregistrăm un traseu static pentru eth1.
Pentru a înregistra rute pentru o interfață, trebuie să creați o rută-<название интерфейса> în directorul / etc / sysconfig / script-uri de rețea / După ce totul este gata de lucru, rebootăm serviciul de rețea.
Acum, să rezumăm ce și cum am făcut.
Există trei tipuri de rute. Dynamic - care sunt atribuite dinamic unei interfețe de rețea, cum ar fi un server DHCP. Static - pe care îl înregistrați manual și rămân în setări după ce serverul este repornit. Iar traseele implicite sunt atunci când alte rute nu sunt potrivite pentru trimiterea de pachete.
Am putea adăuga un traseu către subnetul 192.168.148.0/24 cu comanda de traseu
Dar după repornirea serverului, informațiile despre traseu ar fi pierdute. Pentru a preveni acest lucru, se utilizează un mecanism special. Anume, crearea unui fișier al formularului de traseu -<имя интерфейса> în / etc / sysconfig / script-uri de rețea În acesta vom face o listă de rețele și cum să ajungem la ele. Fiecare înregistrare nouă începe cu o nouă linie.
Pentru ca serverul să fie un gateway pentru alte computere, este necesar să se îndeplinească o serie de condiții:
- Serverul are o masă de rutare corectă, care îl va ajuta să înțeleagă ce să facă cu pachetele;
- Pachetele sunt transferate între interfețe;
- Se instalează o mascare (sau un proxy) pentru rețeaua de care avem nevoie, de exemplu aici (pachete de redirecționare pentru gazdele din subrețeaua 192.168.146.0/24):
Cheile utile netstat
netstat în practică
Parametrii de mai sus sunt suficienți pentru a afla multe din viața serviciilor de rețea.
Este cineva să asculte portul 25?
Vedem că portul 25 ascultă procesul sendmail cu PID 2710
rădăcină 2710 0.0 0.7 8992 1836. Ss 11:17 0:00 sendmail: acceptarea conexiunilor
Să aruncăm o privire la conexiunile actuale ESTABLISHED pe TCP, cu care avem o conexiune și pe ce port
După cum puteți vedea, aceasta este doar conexiunea pe ssh
De asemenea, va fi util să știm ce state se află la prize:
- ESTABLISHED - un soclu cu conexiunea stabilită;
- SYN_SENT - soclul în timpul configurării conexiunii;
- SYN_RECV - a fost făcută o solicitare pentru stabilirea unei conexiuni din rețea;
- FIN_WAIT1 - priza este închisă și conexiunea este închisă;
- FIN_WAIT2 - socket-ul este închis și soclul așteaptă să închidă conexiunea de la gazda de la distanță;
- TIME_WAIT - soclul după închidere, ia pachete din rețea pentru o perioadă de timp;
- ÎNCHIS - priza nu este utilizată;
- CLOSE_WAIT - gazda la distanță a deconectat, așteptați să se închidă soclul;
- LAST_ACK - Hostul la distanță este deconectat și soclul este închis. În așteptare pentru bordură;
- LISTEN - soclul așteaptă conexiunile primite;
- CLOSING - au fost trimise ambele socluri deconectate, dar nu toate datele noastre;
- UNKNOWN - starea soclului nu este cunoscută.
Am învățat cum să configuram una sau mai multe interfețe de rețea. Se ocupă de rutare. Am aflat ce fișiere și modul în care ele afectează funcționarea rețelei în Linux CentOS 5. Acum ne vom familiariza cu două programe care joacă un rol semnificativ în activitatea rețelei. Acesta este programul nmap - care scanează porturile gazdei la distanță și spune ce porturi sunt deschise pe acesta. Și programul tcpdump, este nevoie de cartela dvs. de rețea pentru a promiscuie, ceea ce vă permite să interceptați tot traficul care trece prin card.
Nmap vă permite să scanați calculatoarele la distanță pentru porturile deschise. Cu opțiuni mai agresive, puteți afla versiunea sistemului de operare și câteva alte lucruri.
Vom scana gazda de la distanță. După cum puteți vedea, este ceva interesant.
Uneori, în scopul depanării, trebuie să aflăm care pachete sunt transmise prin rețea. Acest lucru nu este greu de făcut cu tcpdump.
Scanăm gama de porturi