Como testar a conectividade do firewall?

2

De alguma forma, tenho sido encarregado da tarefa de organizar a instalação de um novo ambiente de produção envolvendo 4 servidores.

Eu tenho que fazer pedidos ao administrador da rede para abrir portas no firewall. Ele diz que fez as alterações e eu preciso checá-las.

Eu preciso verificar isso:

1 servidor alfa será capaz de SFTP para servidor beta.

2 server alpha será capaz de se conectar ao LDAP no servidor  gama 636.

3 server alpha será  capaz de visualizar webservices no servidor  porta delta 80

A melhor maneira de saber como fazer isso é tentar fazer telnet para o servidor, por exemplo, para a situação nº 1, tentei fazer login no alpha e:

alpha> telnet beta.mycompany.com 22

Existe uma maneira melhor de testar se posso conectar nas portas 22, 636 e 80?

    
por jeph perro 24.01.2011 / 22:37

2 respostas

3

Assumir que os serviços estão "escutando" nos servidores de destino usando um cliente TELNET para testar a conectividade TCP é um método perfeitamente válido. Você pode usar uma ferramenta como "netcat" se quiser obter ainda mais ossos. Você está apenas testando a pilha para o TCP dessa maneira. Você não pode garantir que o protocolo da camada 7 esteja realmente funcionando sem fazer mais.

Se você quiser a verificação da camada 7, use um programa cliente para cada um dos protocolos em questão e tente executar algum tipo de interação cliente / servidor das máquinas que fornecerão as conexões.

Como sempre, se você estiver em dúvida se seu tráfego está indo para onde você esperava, eu recomendaria usar um sniffer (tcpdump, Wireshark, etc) para verificar se os pacotes estão realmente acabando. até onde você espera que eles. Não há substituto para assistir os bits no fio.

    
por 24.01.2011 / 23:17
1

Isso realmente depende do nível de verificação que você está procurando. Para a maioria dos serviços TCP de porta única simples (como os listados), você só precisa verificar se a porta está aberta e aceitando conexões. O método mais fácil seria usar nmap . A sintaxe específica para verificar as portas mencionadas seria:

nmap -p 22,80,636 192.168.1.1

E retornaria um resultado nos seguintes termos:

Starting Nmap 5.00 ( http://nmap.org ) at 2011-01-24 16:20 CST
Interesting ports on 192.168.1.1:
PORT    STATE  SERVICE
22/tcp  open   ssh
80/tcp  open   http
636/tcp closed ldapssl

Nmap done: 1 IP address (1 host up) scanned in 0.23 seconds

Se o firewall estivesse bloqueando qualquer uma dessas portas, o STATE retornado seria filtered em vez de open ou closed .

Isso só verifica as regras do firewall, no entanto. Ele não verifica se o serviço está necessariamente em execução na porta ou se está funcionando corretamente. Para isso, você teria que executar uma verificação que entendesse o serviço que estava verificando.

    
por 24.01.2011 / 23:25