CentOS 7 Roteamento Estático

0

Eu quero criar uma rota estática através de um servidor do CentOS 7 (para que um servidor de impressão possa acessar uma impressora). O CentOS 7 Server possui duas interfaces: em1 (10.0.0.5/24 está voltado para o servidor de impressão) e em2 (10.0.0.6/24 está voltado para a impressora). Eu não defini um gateway para o em2. O servidor de impressão tem o endereço IP 10.0.0.60/24. A impressora possui o endereço IP 10.0.0.4/24. O gateway da impressora é 10.0.0.6. Os serviços iptables e firewalld estão desativados. A intenção é habilitar e usar um deles como um firewall, uma vez que descobrimos o roteamento. Etapasquetomei:

  • Adicionadaaseguintelinhaao/etc/sysctl.conf:net.ipv4.ip_forward=1
  • Emitidoocomando:
    iprouteadd10.0.0.4devem2
    Issomepermitiupingaraimpressoradedentrodoservidor,masnãodoladodefora.Seestarotanãoestiverdefinida,nãoconsigofazeropingdaimpressoraapartirdoservidordoCentOS.
  • Tentativadeadicionarocomando
    iprouteadd10.0.0.254devem1
    Paradefinirumarotadoem2paraogatewaypadrão.Issonãoteveefeitopositivo.
  • Removidososdoiscomandosanterioresusandoiproutedel
  • Arquivocriado/etc/sysconf/network-scripts/route-em2comaseguintelinha:
    10.0.0.4devem2
    Redereiniciadausandosystemctlrestartnetwork
    Aindaincapazdepingardefora,mascapazdefazeropingdaimpressoraapartirdaimpressoraCentOS7,masnãodarede.
  • Habilitouoiptableseexecutouosseguintescomandosparahabilitaropingatravésdoservidor:
    iptables--flush
    iptables-AFORWARD-iem1-oem2-picmp-mstate--stateNOVO,ESTABELECIDO-jACEITAR
    iptables-AFORWARD-iem2-oem1-picmp-mstate--stateNOVO,ESTABELECIDO-jACCEPT
    Aexecuçãodessescomandosiptablesnãoafetouminhacapacidadedeexecutarpingnaimpressoraapartirdoservidordeimpressão,masaindasoucapazdeexecutarpingnaimpressoraapartirdoservidorCentOS.
  • Usandoonm-connection-gui,adicioneioendereçoIPdaimpressoracomoumendereçoIPadicionalemem1.Fazendoissomepermiteping10.0.0.4(IPdaimpressora).Noentanto,issosimplesmenteconfiguraoservidorcomoodestinodesseIPenãopermitequeeumeconecteàimpressora.

Atéagoranãoconsigopingarosistemadeumservidorexterno.
Algumasoutrascoisas:
-em2nãopossuiumgatewaypadrãoespecificado.
-NogerenciadordeconexõesdaGUI,asrotasmostradasnoarquivoroute-em2sãomostradasem"Rotas" - não as adicionei.
- No gerenciador de conexões da GUI, a opção "Usar esta conexão somente para recursos em sua rede" está marcada. Se eu desmarcá-lo, o botão Aplicar não será realçado.
- No gerenciador de conexões da GUI, não há rotas especificadas para em1. O interruptor "Automatic" está "ON" para rotas em em1 e em2.

Parece que eu tenho o roteamento configurado corretamente no servidor local. Eu preciso descobrir como obter outros servidores para se conectar à impressora através do meu servidor CentOS 7.

conteúdo do arquivo ifcfg-em1
    TIPO = Ethernet
    PROXY_METHOD = nenhum (a)     BROWSER_ONLY = não há     BOOTPROTO = none
    DEFROUTE = sim
    IPV4_FAILURE_FATAL = no
    IPV6INIT = sim
    IPV6_AUTOCONF = sim
    IPV6_DEFROUTE = sim
    IPV6_FAILURE_FATAL = no
    IPV6_ADDR_GEN_MODE = estável-privacidade
    NAME = em1
    UUID = 98f63db9-9676-4b85-acce-8292ceee303b
    DISPOSITIVO = em1
    ONBOOT = sim
    IPADDR = 10.0.0.5
    PREFIXO = 24
    GATEWAY = 10.0.0.254
    DNS1 = 10.0.0.3
    DNS2 = 10.0.0.6
    DOMAIN = REDACTED-FROM-THIS-POST
    IPV6_PRIVACY = não

conteúdo do arquivo ifcfg-em2
TIPO = Ethernet
PROXY_METHOD = nenhum (a) BROWSER_ONLY = não há BOOTPROTO = none
DEFROUTE = no
IPV4_FAILURE_FATAL = no
IPV6INIT = sim
IPV6_AUTOCONF = sim
IPV6_DEFROUTE = sim
IPV6_FAILURE_FATAL = no
IPV6_ADDR_GEN_MODE = estável-privacidade
NAME = em2
UUID = f43a309a-a80f-4200-a252-02cf2648574a
DISPOSITIVO = em2
ONBOOT = sim
HWADDR = 50: 9A: 4C: 6C: 79: 0B
IPADDR = 10.0.0.6
PREFIXO = 24
IPV6_PRIVACY = não

    
por Sheldon 24.10.2018 / 20:11

1 resposta

0

A solução para este problema não é roteamento, é a criação de um firewall em ponte . O problema que eu estava tendo com roteamento era que os sistemas em ambos os lados do firewall são da mesma sub-rede. A maioria das publicações sobre firewalls (online e impressos) pressupõe que o firewall é um roteador ou é adjacente a um, e que máquinas em lados diferentes estão em sub-redes diferentes. Quando as máquinas estão na mesma sub-rede, uma ponte de rede é a solução mais fácil.

Consegui implementar uma solução usando uma configuração de interface de ponte muito simples, conforme descrito nos documentos da Administração do Red Hat aqui . Uma vez que esta ponte estava em vigor, eu usei o software Shorewall para gerenciar regras de firewall. Embora o Shorewall fosse a minha escolha, um administrador experiente poderia fazer o mesmo usando os serviços iptables ou o firewalld. A Shorewall fornece uma página de instruções útil específica para a criação de um firewall em ponte aqui , e isso foi fundamental na minha escolha.

Gostaria de agradecer aos outros usuários que forneceram comentários instigantes a essa pergunta.

    
por 02.11.2018 / 05:19