Centos7 dual NICs: DMZ & Management

1

Recentemente, começamos a adicionar aos nossos servidores DMZ um segundo NIC para ser usado em uma rede de gerenciamento. O servidor deve fazer tudo através da DMZ NIC (eth0, natted e 10.x.x.x), a menos que tente acessar / responder a redes internas (todas as outras RFC1918) via eth1.

É a seguinte solução (que funciona, tanto quanto eu posso dizer) OK? Nós lutamos um pouco com roteamento assimétrico e rp_filter (e tentamos este guia link ) mas no final do dia eu fui com rotas estáticas que parece mais fácil e mais limpa .. mas me faz pensar se eu estou perdendo alguma coisa. Algum problema com esta abordagem?

# DMZ
> cat /etc/sysconfig/network-scripts/ifcfg-eth0
TYPE="Ethernet"
BOOTPROTO="none"
DEFROUTE="yes"
NAME="eth0"
DEVICE="eth0"
ONBOOT="yes"
GATEWAY=10.0.0.1
IPADDR=10.0.0.2
NETMASK=255.255.255.0
IPV4_FAILURE_FATAL="yes"
IPV6INIT="no"
HWADDR="xyz"

# MNG
> cat /etc/sysconfig/network-scripts/ifcfg-eth1
TYPE="Ethernet"
BOOTPROTO="none"
DEFROUTE="no"
NAME="eth1"
DEVICE="eth1"
ONBOOT="yes"
IPADDR=192.168.35.2
NETMASK=255.255.255.0
GATEWAY=192.168.35.1
IPV4_FAILURE_FATAL="yes"
IPV6INIT="no"
HWADDR="wxz"

# Statics 
> cat /etc/sysconfig/network-scripts/route-eth1 
192.168.0.0/16 via 192.168.35.1
172.16.0.0/12 via 192.168.35.1

# rp_filter and ip r
> sysctl -a|grep "\.rp_filter"
net.ipv4.conf.all.rp_filter = 1
net.ipv4.conf.default.rp_filter = 1
net.ipv4.conf.eth0.rp_filter = 1
net.ipv4.conf.eth1.rp_filter = 1
net.ipv4.conf.lo.rp_filter = 0

> ip r
default via 10.0.0.1 dev eth0 
10.0.0.0/24 dev eth0 proto kernel scope link src 10.0.0.2 
169.254.0.0/16 dev eth0 scope link metric 1002 
169.254.0.0/16 dev eth1 scope link metric 1003 
172.16.0.0/12 via 192.168.35.1 dev eth1 
192.168.0.0/16 via 192.168.35.1 dev eth1 
192.168.35.0/24 dev eth1 proto kernel scope link src 192.

Muito obrigado

    
por JoeSlav 26.10.2018 / 21:10

1 resposta

4

Apenas uma de suas NICs deve ter um GATEWAY= definido. Este é o gateway padrão para todos os pacotes destinados à Internet. No momento, ambos têm um GATEWAY= definido, portanto, você tem duas rotas padrão e quais pacotes realmente tentar usar não são previsíveis. O que significa que você terá todos os tipos de problemas de conectividade.

Como você diz que o tráfego na eth1 deve não ir para a Internet, mas apenas para redes específicas, remova GATEWAY= dessa interface.

    
por 26.10.2018 / 22:46