su13@pochta.ru

| Первый | Второй | Третий | Четвёртый | Пятый | Шестой | Седьмой |


ψ GNU OCXE
GNU LINUX ψ

Назад Оглавление Вперед

Часть III Рекомендации связанные с сетью

Управление TCP/IP сетями
Сетевой брандмауэр
Сетевой брандмауэр с поддержкой маскарадинга и маршрутизации

Глава 6 Управление TCP/IP сетями

В этой главе
Инсталляция более одной Ethernet карты на одной машине
Файлы связанные с функционированием сети
Настройка TCP/IP сети вручную из командной строки

Краткий обзор

Мы пока еще не поиграли с сетевыми возможностями Linux. Linux – это одна из самых лучших операционных систем в мире по поддерживаемым сетевым функциям. Большое количество серверов знают об этом и активно используют его. Понимание вашего сетевого оборудования и всех файлов связанных с сетью очень важно для полного контроля над тем с чем сталкивается сервер. Хорошее знание всех основных сетевых команд жизненно важно. Управление сетью охватывает обширный ряд тем. В общем, они включают сбор статистических данных о состоянии частей вашей сети и принятие мер в случае необходимости при возникновении сбоев или других причин. Наиболее примитивная техника сетевого мониторинга – это периодическое пингование проблемных хостов. Более сложная система контроля за сетью требует наличия возможности сбора состояний и статистической информации о работе различных устройств сети. В этой главе мы будем давать ответы на фундаментальные вопросы относительно сетевых устройств, файлов связанных с функционированием сети и важнейших сетевых команд.

Инсталляция более одной Ethernet карты на одной машине

Вы можете использовать Linux как шлюз между двумя сетями. Для этого вы должны иметь на сервере две сетевые карты. Ядро Linux не определяет несколько сетевых карт автоматически при загрузке. Если вы хотите иметь больше одной сетевой карты, то надо определить параметры карт в "lilo.conf" для монолитного ядра и в "conf.modules" для модульного ядра. При работе с вашими сетевыми картами вы можете столкнуться со следующими проблемами.

Проблема 1.

Если драйвер(а) карты были созданы как загружаемые модули (модульное ядро), в случае PCI карт, модули определяют карты автоматически. Для ISA карт вам надо определить I/O адрес карты, чтобы модуль знал где ее смотреть. Эта информация хранится в "/etc/conf.modules".

Например, мы рассмотрим две ISA карты 3c509, у первой I/O=0x300, а у второй I/O=320. Для ISA карт редактируем файл conf.modules (vi /etc/conf.modules) и добавляем в него:

alias eth0 3c509
alias eth1 3c509
options 3c509 io=0x300,0x320

Это говорит, что драйвер 3c509 должен быть загружен для eth0 и eth1 и что при этом I/O=0x300 и 0x320 соответственно. Обратите внимание на запись. Прерывания записываются как 0x, а не как в DOS 300h.

Для PCI карт обычно достаточно alias строк, определяющих связь между устройством (ethN) и драйвером (3c509), потому что, обычно, I/O спокойно определяется автоматически.

Для PCI карт, редактируйте файл conf.modules (vi /etc/conf.modules) и добавьте в него:

alias eth0 3c509
alias eth1 3c509

Проблема 2.

Если драйвера вкомпилированы в ядро (монолитное ядро), проверка PCI будет находить все карты автоматически. ISA карты также будут определяться автоматически, но в некоторых случаях нужно сделать следующее. Эта информация сохраняется в файле "/etc/lilo.conf". Метод заключается в передачи аргументов времени загрузки ядру, которое обычно делает LILO.

Для ISA карт, редактируйте файл lilo.conf (vi /etc/lilo.conf) и добавьте в него:

append="ether=0,0,eth1"

Замечание. В первый раз попробуйте загрузиться без аргументов времени загрузки, и только если ничего не получится воспользуйтесь вышеприведенной строкой. В этом случае eth0 и eth1 будут назначаться в порядке котором карты будут определены. Так как мы перекомпилировали ядро, мы должны использовать второй метод (если драйвера встроены в ядро) для инсталляции второй Ethernet карты в нашей системе. Помните, что он нужен только в ряде случаев для ISA карт, PCI карты будут определяться автоматически.

Файлы связанные с функционированием сети.

В Linux, TCP/IP сеть настраивается через несколько текстовых файлов, которые вы можете редактировать, чтобы заставить вашу сеть работать. Очень важно знать все конфигурационные файлы, связанные с TCP/IP, так чтобы вы могли редактировать их в случае необходимости. Помните, что ваш сервер не имеет Xwindow интерфейса для настройки этих файлов. Даже если вы используете графический пользовательский интерфейс в своей повседневной работе, важно знать как конфигурировать сеть в текстовом режиме. Следующие секции описывают базовые конфигурационные файлы TCP/IP.

Файл "/etc/HOSTNAME".

В этом файле хранится полное доменное имя вашего компьютера, например, deep.openna.com. Ниже приведен пример содержимого этого файла:

deep.openna.com

Файл "/etc/sysconfig/network-scripts/ifcfg-ethN".

Конфигурационный файл для каждого сетевого устройства, которое существует или вы планируете добавить (в Red Hat 6.1 и 6.2) находится в каталоге "/etc/sysconfig/network- scripts/" и называется ifcfg-eth0 для первого интерфейса, ifcfg-eth1 для второго и т.д. Ниже приведен пример конфигурационного файла "/etc/sysconfig/network-scripts/ifcfg- eth0":

DEVICE=eth0
IPADDR=208.164.186.1
NETMASK=255.255.255.0
NETWORK=208.164.186.0
BROADCAST=208.164.186.255
ONBOOT=yes
BOOTPROTO=none
USERCTL=no

Если вы хотите модифицировать ваши сетевые адреса вручную или добавить новое устройство на новом интерфейсе, редактируйте этот файл (ifcfg-ethN), или создайте новый, и внесите в него соответствующие изменения.

DEVICE=devicename, где devicename имя физического сетевого устройства. IPADDR=ipaddr, где ipaddr IP адрес.
NETMASK=netmask, где netmask сетевая IP маска.
NETWORK=network, где network IP адрес сети.
BROADCAST=broadcast, где broadcast широковещательный IP адрес.
ONBOOT=answer, где answer это yes или no (Будет ли интерфейс активным во время загрузки или нет).
BOOTPROTO=proto, где proto одно из:

USERCTL=answer, где answer одно из:

Файл "/etc/resolv.conf".

Этот еще одни текстовый файл, используемый определителем (resolver) – библиотекой, которая определяет IP адрес по имени.

Пример этого файла:

search openna.com
nameserver 208.164.186.1
nameserver 208.164.186.2

Замечание. Запросы посылаются на сервера имен в порядке перечисления в файле "/etc/resolv.conf" (primary, secondary и т.д).

Файл "/etc/host.conf".

Этот файл устанавливает как определяются имена. Linux использует библиотеку определителей для получения IP адреса по имени.

Пример этого файла:

# Поиск имени сперва через DNS а затем, в случае ошибки, в файле /etc/hosts.
order bind,hosts
# У нас есть машины с несколькими адресами.
multi on
# Проверять подмену IP адресов (IP spoofing).
nospoof on

Опция order используется для определения порядка использования сервисов. В примере установлено, что вначале библиотека определителя обращается к DNS серверу, а затем к файлу "/etc/hosts".
Опция multi говорит, что компьютеры, описанные в файле /etc/hosts, могут иметь несколько IP адресов (несколько интерфейсов ethN). Например, шлюз всегда имеет несколько адресов и у них эта опция должна быть всегда определена в ON.
Опция nospoof не разрешать подмену адресов. IP-Spoofing – это способ атаки при котором удаленный компьютер представляется кем-то, кем он не является на самом деле.

Файл "/etc/sysconfig/network".

Файл "/etc/sysconfig/network" описывает желательную сетевую конфигурацию сервера.

Пример этого файла:

NETWORKING=yes
FORWARD_IPV4=yes
HOSTNAME=deep. openna.com
GATEWAY=0.0.0.0
GATEWAYDEV=

NETWORKING=answer, где answer это yes или no (Настраивать сеть или нет).
FORWARD_IPV4=answer, где answer это yes или no (Выполнять IP маршрутизацию или нет).
HOSTNAME=hostname, где hostname это имя вашего сервера.
GATEWAY=gwip, где gwip это IP адрес удаленного маршрутизатора (если доступен).
GATEWAYDEV=gwdev, где gwdev имя устройства (eth#) через которое вы имеете доступ к удаленному маршрутизатору.

Замечание. Для совместимости со старым программным файл /etc/HOSTNAME должен содержать тоже имя, что и HOSTNAME= hostname. В новой версии Red Hat Linux 6.2 параметр "FORWARD_IPV4=" определяется в файле "/etc/sysctl.conf" вместо "/etc/sysconfig/network".

Файл "/etc/sysctl.conf".

В Red Hat Linux 6.2 многие опции ядра связанные с сетевой безопасностью такие как сбрасывать ли пакеты, которые приходят для другого интерфейса, или игнорировать ping/широковещательные запросы и т.д., могут быть определены в новом файле "/etc/sysctl.conf" вместо"/etc/rc.d/rc.local". Одним из самых важных параметров, задаваемых в этом файле это IPv4 forwarding, который сейчас включается программой sysctl. sysctl настройки хранятся в файле "/etc/sysctl.conf", который обрабатывается при каждой загрузке системы перед скриптом "/etc/rc.d/rc.local". Мы уже говорили обо всех сетевых настройках связанных с безопасностью в главе 3 "Общая системная безопасность", поэтому сейчас сконцентрируемся только на опции ядра IPv4 forwarding. Для включения маршрутизации в Red Hat 6.2 используйте следующую команду.

Редактируйте файл "/etc/sysctl.conf" и добавьте следующие строки:

# Enable packet forwarding
net.ipv4.ip_forward = 1

Вы должны перезагрузить ваши сетевые настройки, чтобы изменения вступили в силу:

[root@deep /]# /etc/rc.d/init.d/network restart
Setting network parameters		[ OK ]
Bringing up interface lo		[ OK ]
Bringing up interface eth0		[ OK ]
Bringing up interface eth1		[ OK ]

ЗАМЕЧАНИЕ. Включение маршрутизации через файл "sysctl.conf" работает только для Red Hat 6.2. Пользователям Red Hat 6.1 нужно устанавливать этот параметр через "/etc/sysconfig/network", как это было описано выше.

Файл "/etc/hosts".

Когда вы включаете компьютер, необходимо знать карту соответствия IP адресов и имен некоторых машин, пока DNS сервер не отвечает. Эта карта хранится в файле "/etc/hosts". При отсутствии сервера имен все программы будут узнавать у этого файла какой IP адрес отвечает на определенное имя.

Ниже приводится пример файла "/etc/hosts":

IP Address		Hostname			Alias
127.0.0.1		localhost			deep.openna.com
208.164.186.1		deep.openna.com			deep
208.164.186.2		mail.openna.com			mail
208.164.186.3		web.openna.com			web

В левой колонке записываются IP адреса, в средней соответствующий им имена машин, а в последней псевдонимы этих компьютеров. Например, адресу 208.164.186.1 соответствует машина deep.openna.com, называемая также deep.

После окончания настройки этих файлов не забудьте перезагрузить сетевые настройки вашего сервера, чтобы изменения вступили в силу:

[root@deep /]# /etc/rc.d/init.d/network restart
Setting network parameters	[ OK ]
Bringing up interface lo	[ OK ]
Bringing up interface eth0	[ OK ]
Bringing up interface eth1	[ OK ]

ВАЖНОЕ ЗАМЕЧАНИЕ. Проблемы таймаута, возникающие при telnet и ftp соединениях, часто связаны с тем, что сервер не может определить IP адрес по DNS имени. Это бывает в двух случаях или не правильно сконфигурирован DNS сервер, или клиентская машина не знает о DNS. Если вы планируете запускать telnet или ftp сервисы на машине, не имеющей DNS сервера, не забудьте добавить имя клиентской машины и ее IP адрес в ваш файл "/etc/hosts", иначе, вы можете ждать несколько минут, пока lookup запрос не завершится по таймауту, до появления запроса "login:"

Настройка TCP/IP сети вручную из командной строки.

Утилита ifconfig используется для включения и настройки сетевых карт. Вы должны разобраться в этой команду, если хотите настраивать сеть в ручную. Следует отметить, что когда вы используете ifconfig, вам не нужно перезагружать компьютер, изменения вступят в силу сразу.

Для назначения интерфейсу eth0 IP адреса 208.164.186.2 используйте команду:

[root@deep /]# ifconfig eth0 208.164.186.2 netmask 255.255.255.0

ЗАМЕЧАНИЕ. Обычно, люди настраивают сеть вручную, чтобы проверить как скажутся новые параметры на работе сервера. Если вы хотите сохранить новые настройки, то используйте для этого конфигурационные файлы, связанные с работой сети.

Для отображения всех интерфейсов существующих на сервере введите команду:

[root@deep /]# ifconfig

В ответ вы получите следующую информацию.

eth0	Link encap:Ethernet HWaddr 00:E0:18:90:1B:56
	inet addr:208.164.186.2 Bcast:208.164.186.255 Mask:255.255.255.0
	UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
	RX packets:1295 errors:0 dropped:0 overruns:0 frame:0
	TX packets:1163 errors:0 dropped:0 overruns:0 carrier:0
	collisions:0 txqueuelen:100
	Interrupt:11 Base address:0xa800
lo	Link encap:Local Loopback
	inet addr:127.0.0.1 Mask:255.0.0.0
	UP LOOPBACK RUNNING MTU:3924 Metric:1
	RX packets:139 errors:0 dropped:0 overruns:0 frame:0
	TX packets:139 errors:0 dropped:0 overruns:0 carrier:0
	collisions:0 txqueuelen:0

ЗАМЕЧАНИЕ. Если вы вызвали ifconfig без параметров, то она выдаст вам информацию обо всех интерфейсах. Опция "-a" покажет также неактивные интерфейсы.

[root@deep /]# ifconfig -a

В ответ вы получите следующую информацию.

eth0	Link encap:Ethernet HWaddr 00:E0:18:90:1B:56
	inet addr:208.164.186.2 Bcast:208.164.186.255 Mask:255.255.255.0
	UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
	RX packets:1295 errors:0 dropped:0 overruns:0 frame:0
	TX packets:1163 errors:0 dropped:0 overruns:0 carrier:0
	collisions:0 txqueuelen:100
	Interrupt:11 Base address:0xa800
eth1	Link encap:Ethernet HWaddr 00:E0:18:90:1B:56
	inet addr:192.168.1.1 Bcast:192.168.1.255 Mask:255.255.255.0
	UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
	RX packets:1295 errors:0 dropped:0 overruns:0 frame:0
	TX packets:1163 errors:0 dropped:0 overruns:0 carrier:0
	collisions:0 txqueuelen:100
	Interrupt:5 Base address:0xa320
lo	Link encap:Local Loopback
	inet addr:127.0.0.1 Mask:255.0.0.0
	UP LOOPBACK RUNNING MTU:3924 Metric:1
	RX packets:139 errors:0 dropped:0 overruns:0 frame:0
	TX packets:139 errors:0 dropped:0 overruns:0 carrier:0
	collisions:0 txqueuelen:0

Для назначения маршрутизатора по умолчанию используйте команду:

[root@deep /]# route add default gw 208.164.186.1

ЗАМЕЧАНИЕ. В этом примере маршрутизатор по умолчанию имеет адрес 208.164.186.1. Если вы хотите зафиксировать этот адрес, то внесите его в файл /etc/sysconfig/network.

Чтобы проверить, что компьютер присутствует в сети введите следующую команду (проверяется адрес 208.164.186.1).

[root@deep /]# ping 208.164.186.1

В ответ вы получите следующую информацию.

[root@deep networking]# ping 208.164.186.1
PING 208.164.186.1 (208.164.186.1) from 208.164.186.2 : 56 data bytes
64 bytes from 208.164.186.2: icmp_seq=0 ttl=128 time=1.0 ms
64 bytes from 208.164.186.2: icmp_seq=1 ttl=128 time=1.0 ms
64 bytes from 208.164.186.2: icmp_seq=2 ttl=128 time=1.0 ms
64 bytes from 208.164.186.2: icmp_seq=3 ttl=128 time=1.0 ms
--- 208.164.186.1 ping statistics ---
4 packets transmitted, 4 packets received, 0% packet loss
round-trip min/avg/max = 1.0/1.0/1.0 ms

Вы должны просмотреть таблицу маршрутизации командой route, чтобы убедиться, что оба хоста имеют корректные вхождения в нее.

[root@deep /]# route -n

В ответ вы получите следующую информацию.

Kernel IP routing table
Destination    Gateway        Genmask          Flags  Metric  Ref  Use  Iface
208.164.186.2  0.0.0.0        255.255.255.255  UH     0       0	   0    eth0
208.164.186.0  208.164.186.2  255.255.255.0    UG     0       0    0    eth0
208.164.186.0  0.0.0.0        255.255.255.0    U      0       0    0    eth0
127.0.0.0      0.0.0.0        255.0.0.0        U      0       0    0    lo

Для быстрой проверки статуса интерфейсов используйте команду netstat –i:

[root@deep /]# netstat -i

В ответ вы получите следующую информацию.

Kernel Interface table
Iface  MTU   Met  RX-OK  RX-ERR RX-DRP  RX-OVR  TX-OK  TX-ERR TX-DRP  TX-OVR Flg
eth0   1500  0    4236   0      0       0       3700   0      0       0      BRU
lo     3924  0    13300  0      0       0       13300  0      0       0      LRU
ppp0   1500  0    14     1      0       0       16     0      0       0      PRU

Другая чрезвычайно полезная опция программы netstat "-t", которая показывает все активные TCP соединения.

[root@deep /]# netstat -t

В ответ вы получите следующую информацию.

Active Internet connections (w/o servers)
Proto  Recv-Q  Send-Q Local Address            Foreign Address       State
Tcp    0       0      deep.openar:netbios-ssn  gate.openna.com:1045  ESTABLISHED
Tcp    0       0      localhost:1032           localhost:1033        ESTABLISHED
Tcp    0       0      localhost:1033           localhost:1032        ESTABLISHED
Tcp    0       0      localhost:1030           localhost:1034        ESTABLISHED
Tcp    0       0      localhost:1031           localhost:1030        ESTABLISHED
Tcp    0       0      localhost:1028           localhost:1029        ESTABLISHED
Tcp    0       0      localhost:1029           localhost:1028        ESTABLISHED
Tcp    0       0      localhost:1026           localhost:1027        ESTABLISHED
Tcp    0       0      localhost:1027           localhost:1026        ESTABLISHED
Tcp    0       0      localhost:1024           localhost:1025        ESTABLISHED
Tcp    0       0      localhost:1025           localhost:1024        ESTABLISHED
	

Для просмотра всех активных и прослушиваемых TCP соединений используйте опции "-vat"

[root@deep /]# netstat -vat

В ответ вы получите следующую информацию.

Active Internet connections (servers and established)
Proto  Recv-Q  Send-Q Local Address           Foreign Address      State
tcp     0        0    deep.openna.co:domain   *:*                  LISTEN
tcp     0        0    localhost:domain        *:*                  LISTEN
tcp     0        0    deep.openna.com:ssh     gate.openna.com:1682 ESTABLISHED
tcp     0        0    *:webcache              *:*                  LISTEN
tcp     0        0    deep.openar:netbios-ssn *:*                  LISTEN
tcp     0        0    localhost:netbios-ssn   *:*                  LISTEN
Tcp     0        0    localhost:1032          localhost:1033       ESTABLISHED
Tcp     0        0    localhost:1033          localhost:1032       ESTABLISHED
Tcp     0        0    localhost:1030          localhost:1034       ESTABLISHED
Tcp     0        0    localhost:1031          localhost:1030       ESTABLISHED
Tcp     0        0    localhost:1028          localhost:1029       ESTABLISHED
Tcp     0        0    localhost:1029          localhost:1028       ESTABLISHED
Tcp     0        0    localhost:1026          localhost:1027       ESTABLISHED
Tcp     0        0    localhost:1027          localhost:1026       ESTABLISHED
Tcp     0        0    localhost:1024          localhost:1025       ESTABLISHED
Tcp     0        0    localhost:1025          localhost:1024       ESTABLISHED
tcp     0        0    deep.openna.com:www     *:*                  LISTEN
tcp     0        0    deep.openna.com:https   *:*                  LISTEN
tcp     0        0    *:389                   *:*                  LISTEN
tcp     0        0    *:ssh                   *:*                  LISTEN

Для остановки всех сетевых устройств вручную используйте команду:

[root@deep /]# /etc/rc.d/init.d/network stop
Shutting down interface eth0 			[ OK ]
Disabling IPv4 packet forwarding 		[ OK ]

Для запуска всех сетевых устройств вручную используйте команду:

[root@deep /]# /etc/rc.d/init.d/network start
Enabling IPv4 packet forwarding 	[ OK ]
Bringing up interface lo 		[ OK ]
Bringing up interface eth0 		[ OK ]

Назад Оглавление Вперед

GNU OCXE

GNU OCXE GNU LINUX
Сайт управляется системой uCoz