В этом посте расскажу о том, как настроить тегированный интерфейс VLAN с помощью встроенных программных средств Linux. В процессе рассмотрения будем использовать метод subinterface.
Чтобы настроить тегированный интерфейс, необходимо, чтобы на сервере был загружен модуль ядра Linux — 8021q.
Для загрузки модуля:
modprobe 8021q
Если модуль уже загружен, появится ошибка:
modprobe: ERROR: could not insert '8021q': Module already in kernel
Этот модуль нужно добавить в автозагрузку:
echo 8021q >> /etc/modules-load.d/8021q.conf
Давайте создадим VLAN с идентификатором 10 для сетевого интерфейса eth0. Затем добавим конфигурационный файл ifcfg-eth0.10, который содержит описание подинтерфейса VLAN.
Открываем файл:
nano /etc/sysconfig/network-scripts/ifcfg-eth0.10
И вписываем следующее:
ONBOOT=yes
TYPE=Ethernet
VLAN=yes
DEVICE=eth0.10
BOOTPROTO=static
IPADDR=10.10.10.10
NETMASK=255.255.255.0
Этот файл конфигурации устанавливает связь между виртуальным интерфейсом eth0.10 и физическим интерфейсом eth0. После создания этого файла конфигурации необходимо перезапустить сервис network.
systemctl restart network
Проверить сетевые настройки можно с помощью ip a и увидите, что subinterface с необходимым VLAN10 добавлен.
ping # Пинг сетевого ресурса. Например, : ping google.ru ;
ifconfig # Утилита настройки сети. Примеры:
— ifconfig # Показать параметры всех активных сетевых интерфейсов;
— ifconfig -a # Показать все сетевые интерфейсы;
— ifconfig eth0 up # Запустить сетевой интерфейс eth0;
— ifconfig eth0 down # Отключить сетевой интерфейс eth0;
— ifconfig eth0 hw ether 00:01:02:03:04:05 # Смена MAC адреса;
— ifconfig eth0 192.168.1.1 netmask 255.255.255.0 # Назначить интерфейсу eth0 IP-адрес а так же маску подсети;
— ifconfig eth0:0 192.168.0.1 netmask 255.255.255.0 # Задать дополнительный IP адрес сетевому интерфейсу eth0;
iwlist scan # просканировать эфир на предмет, доступности беспроводных точек доступа;
iwconfig # Утилита настройки беспроводных сетевых интерфейсов.
— iwconfig wlan0 # Показать конфигурацию беспроводного сетевого интерфейса wlan0;
— iwconfig wlan0 mode ad-hoc # Указываем тип сети — ad-hoc;
— iwconfig wlan0 channel 2 # Указываем частотный канал;
— iwconfig wlan0 essid inet # Указываем имя сети;
route # Настройка маршрутов. Примеры:
— route -n # Выводит на экран таблицу маршрутизации;
— route add -net 192.168.0.0 netmask 255.255.0.0 gw 192.168.1.1 # добавить статический маршрут в сеть 192.168.0.0/16 через шлюз с IP-адресом 192.168.1.1 (для удаления меняем add на del);
netstat # Отображает текущие сетевые соединения.
- netstat -tup # Отобразить активные сетевые соединения: ;
— netstat -an | grep LISTEN # Показывает список всех открытых портов;
— netstat -anp -udp -tcp | grep LISTEN # Посмотреть список приложений, которые открывают порты;
ethtool # Информация о текущем режиме сетевого соединения и поддерживаемых. Примеры:
- ethtool eth0 отображает статистику интерфеса eth0 с выводом такой информации, как поддерживаемые и текущие режимы соединения;
— ethtool -s eth0 speed 100 duplex full autoneg off # Принудительно задать скорость сетевому интерфейсу 100Mbit и режим Full duplex и отключить автоматическое определение;
tcpdump # Утилита сканирования сетевого трафика. Пример: tcpdump tcp port 80 отобразить весь трафик на TCP-порт 80;
iptables # Утилита настройки файервола;
ssh # Подключение к удаленному компьютеру по ssh. Например: ssh 192.168.1.3
wget # Утилита закачки. wget -c http://www.example.com/file.iso загрузить файл http://www.example.com/file.iso с возможностью останова и продолжения в последствии;
whois # Узнать информацию о домене, пример: whois google.com ;
dig # Команда проверки доменных имён.
1️⃣ Команда используется для отображения текущих правил таблицы фильтрации пакетов.
iptables -L
2️⃣ Команда используется для отображения текущих правил таблицы преобразования сетевых адресов (NAT).
iptables -t nat -L
3️⃣ Команда добавляет правило в таблицу INPUT, которое разрешает все входящие TCP-пакеты на порту 80.
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
4️⃣ Команда добавляет правило в таблицу FORWARD, которое разрешает все пакеты UDP на порту 53 (DNS-трафик).
iptables -A FORWARD -p udp --dport 53 -j ACCEPT
5️⃣ Команда добавляет правило в таблицу OUTPUT, которое разрешает все исходящие TCP-пакеты на порту 22 (SSH-трафик).
iptables -A OUTPUT -p tcp --dport 22 -j ACCEPT
6️⃣ Команда добавляет правило в таблицу INPUT, которое блокирует все входящие TCP-пакеты на порту 22 (SSH-трафик).
iptables -A INPUT -p tcp --dport 22 -j DROP
7️⃣ Команда используется для добавления правила в таблицу nat, которое маскирует IP-адрес источника при отправке пакетов через интерфейс eth0.
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
8️⃣ Команда добавляет правило в таблицу FORWARD, которое разрешает все пакеты, пересылаемые между интерфейсами eth0 и eth1.
iptables -A FORWARD -i eth0 -o eth1 -j ACCEPT
9️⃣ Команда добавляет правило в таблицу INPUT, которое разрешает все входящие пакеты на интерфейсе loopback (lo).
iptables -A INPUT -i lo -j ACCEPT
1️⃣0️⃣ Команда используется для отображения номеров сетевых интерфейсов вместе с текущими правилами таблицы фильтрации пакетов.
iptables -L -n
