প্যাকেট ফিল্টারিং, নেটওয়ার্ক ঠিকানার অনুবাদ এবং কর্নেল রানটাইম পরামিতিগুলি কীভাবে সেট করবেন - পার্ট 2

পর্ব 1 ("সেটআপ স্ট্যাটিক নেটওয়ার্ক রাউটিং") প্রতিশ্রুতি অনুসারে, এই নিবন্ধে (আরএইচসিই সিরিজের অংশ 2) আমরা ডাইভিংয়ের আগে, রেড হ্যাট এন্টারপ্রাইজ লিনাক্স 7-এ প্যাকেট ফিল্টারিং এবং নেটওয়ার্ক অ্যাড্রেস ট্রান্সলেট (ন্যাট) নীতিগুলি প্রবর্তন করে শুরু করব will চলমান কার্নেলের আচরণ পরিবর্তন করতে রানটাইম কার্নেল প্যারামিটার সেট করার ক্ষেত্রে যদি কিছু শর্ত পরিবর্তন হয় বা প্রয়োজন দেখা দেয়।

RHEL 7 এ নেটওয়ার্ক প্যাকেট ফিল্টারিং

আমরা যখন প্যাকেট ফিল্টারিংয়ের বিষয়ে কথা বলি, আমরা ফায়ারওয়াল দ্বারা সম্পাদিত একটি প্রক্রিয়া উল্লেখ করি যেখানে এটি প্রতিটি ডেটা প্যাকেটের শিরোনাম পড়ে যা এটি দিয়ে যাওয়ার চেষ্টা করে। তারপরে, এটি সিস্টেম প্রশাসক দ্বারা পূর্বে সংজ্ঞায়িত নিয়মের ভিত্তিতে প্রয়োজনীয় ব্যবস্থা গ্রহণের মাধ্যমে প্যাকেটটি ফিল্টার করে।

আপনি সম্ভবত জানেন যে, আরএইচইএল 7 দিয়ে শুরু করে ফায়ারওয়াল নিয়ম পরিচালিত ডিফল্ট পরিষেবাটি ফায়ারওয়াল্ড। আইপটিবলের মতো এটি নেটওয়ার্ক প্যাকেটগুলি পরীক্ষা ও পরিচালনা করার জন্য লিনাক্স কার্নেলের নেটফিল্টার মডিউলটির সাথে কথা বলে। আইপটিবলগুলির বিপরীতে, আপডেটগুলি সক্রিয় সংযোগগুলিতে বাধা ছাড়াই তাত্ক্ষণিকভাবে কার্যকর হতে পারে - আপনাকে পরিষেবা পুনরায় আরম্ভ করতে হবে না।

ফায়ারওয়াল্ডের আরেকটি সুবিধা হ'ল এটি আমাদের প্রাক-কনফিগার করা পরিষেবার নামের উপর ভিত্তি করে নিয়মগুলি সংজ্ঞায়িত করতে দেয় (এক মিনিটের মধ্যে আরও)।

পার্ট 1 এ, আমরা নিম্নলিখিত দৃশ্যগুলি ব্যবহার করেছি:

তবে, আপনি স্মরণ করতে পারেন যে উদাহরণটি আরও সহজ করার জন্য আমরা রাউটার # 2 এ ফায়ারওয়ালটি অক্ষম করেছিলাম যেহেতু আমরা এখনও প্যাকেট ফিল্টারিং coveredেকে নেই। আসুন আমরা এখন দেখি কীভাবে আমরা গন্তব্যে কোনও নির্দিষ্ট পরিষেবা বা বন্দরের জন্য নির্ধারিত ইনকামিং প্যাকেটগুলি সক্ষম করতে পারি।

প্রথমে, enp0s3 (192.168.0.19) এ এনপি0 এস 8 (10.0.0.18) এ ইনবাউন্ড ট্র্যাফিকের অনুমতি দেওয়ার জন্য একটি স্থায়ী নিয়ম যুক্ত করা যাক:

# firewall-cmd --permanent --direct --add-rule ipv4 filter FORWARD 0 -i enp0s3 -o enp0s8 -j ACCEPT

উপরের কমান্ডটি নিয়মটি /etc/firewalld/direct.xML এ সংরক্ষণ করবে:

# cat /etc/firewalld/direct.xml

তারপরে এটি কার্যকর করার জন্য নিয়মটি সক্ষম করুন:

# firewall-cmd --direct --add-rule ipv4 filter FORWARD 0 -i enp0s3 -o enp0s8 -j ACCEPT

এখন আপনি আরএইচইএল 7 বাক্স থেকে ওয়েব সার্ভারে টেলনেট করতে পারেন এবং দুটি মেশিনের মধ্যে টিসিপি ট্র্যাফিক নিরীক্ষণের জন্য আবার টিসিপিডাম্প চালাতে পারেন, এবার রাউটারে ফায়ারওয়াল # 2 সক্ষম করা হয়েছে।

# telnet 10.0.0.20 80
# tcpdump -qnnvvv -i enp0s3 host 10.0.0.20

আপনি যদি কেবলমাত্র 192.168.0.18 থেকে ওয়েব সার্ভারে (পোর্ট 80) এবং 192.168.0.0/24 নেটওয়ার্কের অন্যান্য উত্স থেকে সংযোগগুলি ব্লক করতে চান তবে কী হবে?

ওয়েব সার্ভারের ফায়ারওয়ালে, নিম্নলিখিত বিধিগুলি যুক্ত করুন:

# firewall-cmd --add-rich-rule 'rule family="ipv4" source address="192.168.0.18/24" service name="http" accept'
# firewall-cmd --add-rich-rule 'rule family="ipv4" source address="192.168.0.18/24" service name="http" accept' --permanent
# firewall-cmd --add-rich-rule 'rule family="ipv4" source address="192.168.0.0/24" service name="http" drop'
# firewall-cmd --add-rich-rule 'rule family="ipv4" source address="192.168.0.0/24" service name="http" drop' --permanent

এখন আপনি ওয়েব সার্ভারে 192.168.0.18 থেকে এবং 192.168.0.0/24 এ অন্য কোনও মেশিন থেকে HTTP অনুরোধ করতে পারেন। প্রথম ক্ষেত্রে সংযোগটি সফলভাবে শেষ করা উচিত, অন্যদিকে এটি শেষ পর্যন্ত সময়সীমা শেষ হবে।

এটি করতে, নিম্নলিখিত আদেশগুলির মধ্যে যে কোনওটি কৌশলটি করবে:

# telnet 10.0.0.20 80
# wget 10.0.0.20

আমি আপনাকে দৃ strongly়ভাবে পরামর্শ দিচ্ছি যে সমৃদ্ধ বিধি সম্পর্কে আরও তথ্যের জন্য ফেডোরা প্রকল্প উইকিতে ফায়ারওয়াল্ড সমৃদ্ধ ভাষার ডকুমেন্টেশনগুলি পরীক্ষা করে দেখুন।

RHEL 7 এ নেটওয়ার্ক ঠিকানার অনুবাদ

নেটওয়ার্ক অ্যাড্রেস ট্রান্সলেশন (NAT) হল এমন একটি প্রক্রিয়া যেখানে একটি ব্যক্তিগত নেটওয়ার্কে কম্পিউটারগুলির একটি গ্রুপ (এটি তাদের মধ্যে কেবল একটি হতে পারে) একটি অনন্য পাবলিক আইপি ঠিকানা বরাদ্দ করা হয়। ফলস্বরূপ, তারা এখনও নেটওয়ার্কের ভিতরে তাদের নিজস্ব ব্যক্তিগত আইপি ঠিকানা দ্বারা স্বতন্ত্রভাবে সনাক্ত করা হয়েছে তবে বাইরের তারা সকলেই একই "মনে হয়"।