LecturesCMC/LinuxNetwork2013/04-IProuteDHCP

Сетевой уровень: настройка, DHCP и целевая маршрутизация

Настройки

Простой случай: ip a + ip r на каждом интерфейсе

Сохранение настроек: команды+данные (etcnet, network-scripts и т. п.) или спецAPI+данные (Network Manager). Достоинства и недостатки.

Устройство etcnet: ifaces  options.d  scripts  sysctl.conf

Функции маршрутизатора (ip_forward):

• команда sysctl net.ipv4.ip_forward == файл /proc/sys/net/ipv4/ip_forward

  • # sysctl net.ipv4.ip_forward=1 == echo 1 > /proc/sys/net/ipv4/ip_forward

• /etc/net/sysctl.conf: net.ipv4.ip_forward = 1

DHCP

• Задача: узнать свой IP.

  • Решение: спросить у сервера (протокол RARP, сетевой)

• Задача: узнать настройки сети

  • Решение: спросить у сервера (протокол BOOTP, прикладной)

• Задача: узнать все настройки

  • Решение: спросить у сервера (протокол DHCP, прикладной)

  • Штук 70 стандартных полей

PXE = tftp + bootp (возможны девиации)

ISC DHCPD и его настройка:

[root@uneex ~]# cat /etc/dhcp/dhcpd.conf
# See dhcpd.conf(5) for further configuration

ddns-update-style none;

subnet 10.30.50.0 netmask 255.255.255.0 {
        option routers                  10.30.50.1;
        option subnet-mask              255.255.255.0;

        option domain-name              "class.altlinux.org";
        option domain-name-servers      10.30.50.1;

        range dynamic-bootp 10.30.50.10 10.30.50.100;
        default-lease-time 21600;
        max-lease-time 43200;
}

Целевая маршрутизация

Особые случаи маршрутизации:

• В зависимости от адреса отправителя

• В зависимости от пометок межсетевого экрана
• …

Policy routing:

• ip rule (пример)

• таблицы local и main

[root@uneex ~]# ip r
default via 10.0.2.2 dev enp0s3  metric 203
10.0.2.0/24 dev enp0s3  proto kernel  scope link  src 10.0.2.15  metric 203
10.30.50.0/24 dev enp0s8  proto kernel  scope link  src 10.30.50.1
[root@uneex ~]# ip r list table local
broadcast 10.0.2.0 dev enp0s3  proto kernel  scope link  src 10.0.2.15
local 10.0.2.15 dev enp0s3  proto kernel  scope host  src 10.0.2.15
broadcast 10.0.2.255 dev enp0s3  proto kernel  scope link  src 10.0.2.15
broadcast 10.30.50.0 dev enp0s8  proto kernel  scope link  src 10.30.50.1
local 10.30.50.1 dev enp0s8  proto kernel  scope host  src 10.30.50.1
broadcast 10.30.50.255 dev enp0s8  proto kernel  scope link  src 10.30.50.1
broadcast 127.0.0.0 dev lo  proto kernel  scope link  src 127.0.0.1
local 127.0.0.0/8 dev lo  proto kernel  scope host  src 127.0.0.1
local 127.0.0.1 dev lo  proto kernel  scope host  src 127.0.0.1
broadcast 127.255.255.255 dev lo  proto kernel  scope link  src 127.0.0.1

Пример правил:

# ip rule
 0:      from all lookup local
 32766:  from all lookup main
 32767:  from all lookup default

# echo $TBL $TNAME >> /etc/iproute2/rt_tables
# ip rule add from $IP table $TBL # или $TNAME
# ip route add default dev $ETH via $GW table $TBL
# ip route add $NET dev $ETH table $TBL

«Russian VPN»

• VPN с точки зрения Linux:
  • VPN-сервер → доставка каким-нибудь образом → VPN-клиент
  • ⇒ Виртуальный сетевой интерфейс (+адрес, +маршрутизация)
• Ситуация: VPN-сервер не в локальной сети, но на внутреннем адресном пространстве

  0. ⇒ если добавить ip route add default, пакеты с VPN-трафиком до него больше не доходят, потому что старый маршрутизатор по умолчанию неактуален

  1. Решается статическим добавлением маршрута до сервера через исходный маршрутизатор по умолчанию
  2. А если адрес VPN сервера выбирается динамически?
  3. А если адрес VPN сервера получается из его FQDN?
  4. А если DNS-сервер тоже не в локальной сети, но на внутреннем адресном пространстве?

Д/З

Внимание: образы виртуальных машин обновились! Теперь их два — сервер (Nano) и клиент (NanoClient). Импортировать нужно обе.

Если вы не большой знаток Linux, редактировать конфигурационные файлы можно с помощью команды mcedit /путь/до/файла. Если вы знакомы с двухпанельными файловыми менеджерами типа «синенькое» (Far Manager, Total Commander и т. п.), можете воспользоваться mc. Символ # в начале строки конфигурационного файла начинает комментарий.

Обе машины — и «сервер», и «клиент» — имеют по два сетевых интерфейса, из которых один смотрит в «интернет» 10.0.2.0/24 (что это за интернет — об этом после), а второй — в невидимую ниоткуда, кроме виртуальных машин, внутреннюю сеть virtualbox 10.30.50.0/24 (очень удобно: внутренних сетей можно наделать сколько хочешь и моделировать любую топологию сети). Различаются только настройки: сервер по умолчанию ходит в интернет через интерфейс с интернетом, а клиент — через внутреннюю сеть посредством сервера.

Сам virtualbox может раздавать сетевые настройки при помощи DHCP, но этим пользуется только сервер (для «интенрентого» интерфейса). Внутренний интерфейс 10.30.50.1/24 в сервере настроен вручную, и по внутренней сети уже сам сервер раздаёт DHCP, а клиент — получает. Адрес 10.0.2.10/24 на «интернетном» интерфейса клиент настраивает вручную.

Разумеется, при такой конфигурации клиент тоже может работать маршрутизатором для сервера!

Если в примере встречаются команды и клиента, и сервера, я включаю в него приглашение командной строки с именем машины.

• Настройки сети на сервере:

  • ip r, ip a

  • ls /etc/net, ls /etc/net/ifaces

  • find /etc/net/ifaces/[el]* -type f -print (эта команда рекурсивно просматривает соответствующие каталоги и находит в них файлы)

  • find /etc/net/ifaces/[el]* -type f -print -exec cat {} \; (эта командавыводит не только имена файлов, но и их содержимое)

  • (вариант предыдущей команды, в которой find только выдаёт имена файлов, а выводом занимается sh): find /etc/net/ifaces/[el]* -type f -print | while read f; do echo "     ====== $f"; cat $f; done

  • каких привычных настроек сети не задано явно в текущей конфигурации etcnet и почему?

• Настройка DHCP:

  • Настройки сервера: [root@uneex ~]# cat /etc/dhcp/dhcpd.conf

  • Посмотреть сеанс настройки DHCP: [root@uneex ~]# tcpdump -v -n -i enp0s8

  • Перезапустить сеть на клиенте, чтобы этот сеанс произошёл: [root@uneexclient ~]# service network restart

• Настройки сети на клиенте
  • См. настройки на сервере.

  • ip rule (обратить внимание на пока пустую нестандартную таблицу "back")

  • cat /etc/iproute2/rt_tables

  • В файле /etc/net/ifaces/enp0s3/ipv4route расскомментировать по одной строчке, посмотреть, что изменится после service network restart

    • В частности, выполнить команды ip r, ip route get 217.76.32.61

• Настройка и работа Policy routing

  • Раскомментировать в enp0s3/ipv4route только строку default via 10.0.2.2 table back (она заполняет таблицу "back"), перезапустить сеть

  • ip route list table back

  • ip r get from 10.30.50.1 iif enp0s8 217.76.32.61

    • что делает эта команда?

    • чем её результат отличается от ip r get 217.76.32.61 и посему

  • Пронаблюдать процесс целевой маршрутизации:

    • [root@uneexclient ~]# tcpdump -ni enp0s3 port 80

    • [root@uneex ~]# ip r add 217.76.32.61/32 via 10.30.50.11

      • Внимание! адрес 10.30.50.11 раздаётся по DHCP, он может измениться

    • [root@uneex ~]# ip r get 217.76.32.61; ip r get 217.76.32.60

    • [root@uneex ~]# echo -e "QQ\n\n" | netcat 217.76.32.61 80