Ini adalah jaringan rumah saya yang sedang saya pelajari.
Silakan lihat detail relevan VLAN dan aturan firewall zona terkait di bagian bawah posting sebagai panjangnya
Saya telah berhasil menetapkan 2 NIC (Manajemen / DMZ) untuk masing-masing dari 6 server windows berhasil dan menggunakan laptop Windows saya di LAN untuk mengakses hal-hal di belakang manajemen untuk RDP / akses Web untuk switch / router dll. Saya dapat melakukan ping ke setiap server dari Windows saya Mesin LAN ke DMZ dan IP Manajemen mereka dan dapatkan pengembalian.
Jadi saya telah menambahkan server Ubuntu 16 LTS beberapa hari yang lalu dengan konfigurasi yang sama tetapi tidak dapat melakukan ping kedua IP dari laptop Windows.
Ini file / etc / network / interfaces saya
# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).
source /etc/network/interfaces.d/*
# The loopback network interface
auto lo
iface lo inet loopback
# The primary network interface
auto eth0
iface eth0 inet static
address 192.168.67.100
netmask 255.255.255.0
# network 192.168.67.0
# broadcast 192.168.67.255
gateway 192.168.67.253
# dns-* options are implemented by the resolvconf package, if installed
dns-nameservers 192.168.67.253
dns-search on.fake.network
# Management network interface
auto eth1
iface eth1 inet static
address 192.168.7.100
netmask 255.255.255.0
# network 192.168.7.0
broadcast 192.168.7.255
#persistent static routes
up route add -net 192.168.1.0/24 gw 192.168.7.253 dev eth1
Tabel rute IP saya
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
0.0.0.0 192.168.67.253 0.0.0.0 UG 0 0 0 eth0
192.168.1.0 192.168.7.253 255.255.255.0 UG 0 0 0 eth1
192.168.7.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1
192.168.67.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
Jadi dengan konfigurasi ini saya bisa melakukan ping 192.168.7.100 tetapi tidak 192.168.67.100 saya mengambil rute statis persisten dan kebalikannya: /
Bagaimana saya bisa menang, ini cukup mudah di Windows, tetapi saya bingung di Ubuntu
* DETIL TAMBAHAN *
Router Ubiqiti ERL3 menciptakan VLANS
VLAN 7 - Management (192.168.7.0) - Router interface (GW) IP is 192.168.7.253
VLAN 13 - LAN (192.168.1.0) - Router interface (GW) IP is 192.168.1.253
VLAN 67 - DMZ (192.168.67.0) - Router interface (GW) IP is 192.168.67.253
Laptop Windows pada koneksi LAN
VLAN 13 - LAN (192.168.1.15)
Server Ubuntu (Melalui host Hyper-V) memiliki 2 NIC
eth0 - VLAN 67 - DMZ (192.168.67.100)
eth1 - VLAN 7 - Management (192.168.7.100)
Ping diinisiasi dari LAN 192.168.1.15 ke DMZ / MGMT 192.168.67.100/192.168.7.100
Berikut adalah aturan firewall terkondensasi saya yang relevan dengan skenario ini, menghapus tambahan seperti akses SSH / HTTP dll.
Memperhatikan "address-group mgmtfromlan" berisi beberapa IP dari LAN termasuk 192.168.1.15 (Laptop di LAN VLAN)
name lan-dmz {
default-action drop
enable-default-log
rule 1 {
action accept
state {
established enable
related enable
}
}
rule 2 {
action drop
log enable
state {
invalid enable
}
}
rule 100 {
action accept
description "Allow ICMP"
log enable
protocol icmp
}
}
name lan-mgmt {
default-action drop
enable-default-log
rule 1 {
action accept
state {
established enable
related enable
}
}
rule 2 {
action drop
log enable
state {
invalid enable
}
}
rule 100 {
action accept
description "Allow ICMP"
log enable
protocol icmp
source {
group {
address-group mgmtfromlan
}
}
}
}
name dmz-lan {
default-action drop
enable-default-log
rule 1 {
action accept
state {
established enable
related enable
}
}
rule 2 {
action drop
log enable
state {
invalid enable
}
}
}
name mgmt-lan {
default-action drop
enable-default-log
rule 1 {
action accept
state {
established enable
related enable
}
}
rule 2 {
action drop
log enable
state {
invalid enable
}
}
rule 100 {
action accept
description "Allow ICMP"
log enable
protocol icmp
}
}
* ROUTING TABLE ON WINDOWS LAPTOP 192.168.1.15 *
===========================================================================
Interface List
15...b8 ca 3a d4 bb bc ......Intel(R) 82579LM Gigabit Network Connection #2
5...3c a9 f4 03 73 ed ......Microsoft Wi-Fi Direct Virtual Adapter #2
19...00 ff d4 0e 47 e9 ......TAP-Windows Adapter V9
7...3c a9 f4 03 73 ec ......Intel(R) Centrino(R) Ultimate-N 6300 AGN #2
1...........................Software Loopback Interface 1
12...00 00 00 00 00 00 00 e0 Microsoft Teredo Tunneling Adapter
===========================================================================
IPv4 Route Table
===========================================================================
Active Routes:
Network Destination Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 192.168.1.253 192.168.1.15 291
127.0.0.0 255.0.0.0 On-link 127.0.0.1 331
127.0.0.1 255.255.255.255 On-link 127.0.0.1 331
127.255.255.255 255.255.255.255 On-link 127.0.0.1 331
192.168.1.0 255.255.255.0 On-link 192.168.1.15 291
192.168.1.15 255.255.255.255 On-link 192.168.1.15 291
192.168.1.255 255.255.255.255 On-link 192.168.1.15 291
224.0.0.0 240.0.0.0 On-link 127.0.0.1 331
224.0.0.0 240.0.0.0 On-link 192.168.1.15 291
255.255.255.255 255.255.255.255 On-link 127.0.0.1 331
255.255.255.255 255.255.255.255 On-link 192.168.1.15 291
===========================================================================
Persistent Routes:
Network Address Netmask Gateway Address Metric
0.0.0.0 0.0.0.0 192.168.1.253 Default
0.0.0.0 0.0.0.0 192.168.1.253 Default
===========================================================================
IPv6 Route Table
===========================================================================
Active Routes:
If Metric Network Destination Gateway
1 331 ::1/128 On-link
1 331 ff00::/8 On-link
===========================================================================
Persistent Routes:
None
Terima kasih sebelumnya
sumber
Jawaban:
Dengan set rute default, VM ubuntu menerima paket pada eth1 (dari 192.168.1.15: ping 192.168.7.100). Ini akan:
Perilaku tergantung pada
/proc/sys/net/ipv4/conf/{all,eth1}/rp_filter
nilai, tetapi drop adalah default: all / rp_filter = 1 dan eth1 / rp_filter = 1Dalam kasus di mana itu tidak dijatuhkan: router ERL3 melihat paket balasan dari 192.168.1.7.100 yang seharusnya dalam lan-mgmt, tetapi transit dari lan-dmz. Tergantung pada pengaturan yang mungkin dijelaskan dalam konfigurasi router Anda yang Anda tulis, tetapi saya tidak tahu:
Mari kita pertimbangkan bahwa ERL3 menerimanya. Maka "memperbaiki" sederhana: keamanan yang lebih rendah di ubuntu dengan menonaktifkan pemfilteran jalur balik:
ref: https://www.kernel.org/doc/Documentation/networking/ip-sysctl.txt (rp_filter)
(Cara kerjanya, eth0 tetap terlindungi, tapi itu tidak relevan di sini)
Coba dulu, jika berhasil, masalah terpecahkan. Pertimbangkan untuk mengganti keduanya
echo 0
denganecho 2
hanya untuk eth1 (mode longgar). Tetapi pertimbangkan itu masih menjadi masalah: routing asimetris dapat menciptakan masalah lain terutama dengan firewall.Jika router ERL3 juga memfilter (yaitu: di atas tidak berfungsi): ubuntu harus mengetahui keberadaan 192.168.1.0/24 untuk kedua antarmuka dan penggunaan
table
sertarule
pengaturan untuk perutean yang benar. Itu agak sulit untuk menjelaskan semua alasan selain bagaimana, inilah rujukan, yang tidak tepat untuk kasus ini tetapi sebagian besar didasarkan pada (yang saya lakukan di sini):ref: http://lartc.org/howto/lartc.rpdb.multiple-links.html
Saya memilih tabel acak 7 dan 67 untuk mencocokkan 192.168.7.0/24 dan 192.168.67.0/24. Mulai dari rute kosong (di sebelah rute lan lokal dibuat secara otomatis) dan:
Saya tidak tahu apakah ini benar-benar diperlukan, tapi itu ada dalam dokumentasi jadi ...:
Rute default Anda tetap sama, di sini lagi di
ip route
sintaks:Dan bagian yang sangat penting yang memberitahu untuk menggunakan antarmuka yang tepat:
Catatan akhir: pastikan ubuntu tidak merutekan, jika tidak, host DMZ yang dikompromikan mungkin berupaya mengelola yang lain melalui ubuntu:
sumber
Rute statis Anda menimpa gateway default.
Ketika rute ada semua lalu lintas ke 192.168.1.x pergi melalui eth1 menggunakan 192.168.7.253 sebagai gateway.
Ketika rute tidak ada semua lalu lintas ke 192.168.1.x pergi melalui eth0 menggunakan 192.168.67.253 sebagai gateway.
Path dari pc Anda ke server ok, tetapi path kembali mengambil rute yang berbeda, tergantung pada antarmuka yang Anda ping. Ini disebut perutean asimetris dan biasanya tidak diizinkan oleh perangkat keamanan. Mungkin diblokir di firewall Anda. Intinya, lalu lintas kembali yang datang melalui rute yang berbeda adalah "tidak terkait" dan lalu lintas tidak dikenal, sehingga dibatalkan.
Saya pikir cara termudah untuk menyelesaikan masalah ini adalah untuk memastikan lalu lintas mengambil rute yang benar tergantung pada antarmuka mana yang menerima data. Itu bisa dilakukan dengan mengatur gateway default di kedua antarmuka.
Sayangnya ini tidak semudah kedengarannya. Anda harus membuat tabel routing alternatif dan aturan routing.
Lihat apakah penulisan ini akan membantu: https://www.thomas-krenn.com/en/wiki/Two_Default_Gateways_on_One_System
https://askubuntu.com/questions/310355/networking-with-multiple-nics
sumber