redhat:base-redhat:fw-redhat

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Both sides previous revision Previous revision
Next revision		 Previous revision
redhat:base-redhat:fw-redhat [2019/03/06 14:45] michaelredhat:base-redhat:fw-redhat [2019/03/07 10:47] (current) – [Troubleshooting] michael
Line 180: Line 180:
 ==== Konfiguration im NIC Script ==== ==== Konfiguration im NIC Script ====
  
-Die konfigurierte Firewalld Zone (ZONE=internal) muss im Netzwerk Interface Script eingetragen sein, damit die Regeln korrekt funktionieren. Wird dieser Eintrag gelöscht, ist man vom System ausgesperrt.+Die konfigurierte Firewalld Zone (ZONE=internal) <wrap em>muss</wrap> im Netzwerk Interface Script eingetragen sein, damit die Regeln korrekt funktionieren. <wrap em>Wird dieser Eintrag gelöscht, ist man vom System ausgesperrt.</wrap>
  
-<sxh plain; gutter: false;>+<sxh plain; gutter: false; highlight: [9];>
 [root@vtsttc ~]# cat /etc/sysconfig/network-scripts/ifcfg-ens160 [root@vtsttc ~]# cat /etc/sysconfig/network-scripts/ifcfg-ens160
 # Generated by parse-kickstart # Generated by parse-kickstart
Line 191: Line 191:
 BOOTPROTO="static" BOOTPROTO="static"
 DEVICE="ens160" DEVICE="ens160"
 +ZONE=internal
 ONBOOT="yes" ONBOOT="yes"
 IPV6INIT="yes" IPV6INIT="yes"
 NM_CONTROLLED=no NM_CONTROLLED=no
-ZONE=internal 
 [root@vtsttc ~]# [root@vtsttc ~]#
 </sxh> </sxh>
Line 231: Line 231:
  
  
 +<WRAP center box 100%>
 ==== Source Destination Rules (Rich-Rules) ==== ==== Source Destination Rules (Rich-Rules) ====
  
Line 280: Line 281:
 [root@vtsttc ~]# [root@vtsttc ~]#
 </sxh> </sxh>
 +</WRAP>
  
 ---- ----
  
 +<WRAP center box 100%>
 ==== Port Ranges mit Source Destination Rule ==== ==== Port Ranges mit Source Destination Rule ====
  
Line 311: Line 314:
 [root@vtsttc ~]# [root@vtsttc ~]#
 </sxh> </sxh>
 +</WRAP>
  
 ---- ----
  
 +<WRAP center box 100%>
 ==== Konfiguration mit Port Forwarding ==== ==== Konfiguration mit Port Forwarding ====
  
Line 345: Line 350:
 [root@vtsttc ~]# [root@vtsttc ~]#
 </sxh> </sxh>
 +</WRAP>
  
 ---- ----
  
 +<WRAP center box 100%>
 ==== Konfiguration Rich Rule Source Destination mit Port Forwarding ==== ==== Konfiguration Rich Rule Source Destination mit Port Forwarding ====
  
Line 384: Line 391:
 </zone> </zone>
 [root@vtsttc ~]# [root@vtsttc ~]#
-</code>+</sxh> 
 +</WRAP>
  
 ---- ----
  
 +<WRAP center box 100%>
 ==== Möglichkeit Outgoing Ports zu sperren ==== ==== Möglichkeit Outgoing Ports zu sperren ====
  
Line 393: Line 402:
 Auf diese Weise könnte eine UDP Kommunikation gesperrt werden. Auf diese Weise könnte eine UDP Kommunikation gesperrt werden.
  
-**Konfiguration interaktiv**+<wrap em>Konfiguration interaktiv</wrap> 
 Hier wird nicht mit der Firewall Zone gearbeitet, sondern mit der Konfiguration direct Hier wird nicht mit der Firewall Zone gearbeitet, sondern mit der Konfiguration direct
  
Line 412: Line 422:
 ---- ----
  
-**Konfiguration /etc/firewalld/direct.xml**+<wrap em>Konfiguration /etc/firewalld/direct.xml</wrap> 
 Der Eintrag in der "direct" Konfiguration ist  Der Eintrag in der "direct" Konfiguration ist 
  
Line 424: Line 435:
 [root@vtsttc ~]# [root@vtsttc ~]#
 </sxh> </sxh>
 +</WRAP>
 +
  
 ---- ----
  
 +<WRAP center box 100%>
 ==== Möglichkeit interaktiv konfigurierte Ports zu sperren ==== ==== Möglichkeit interaktiv konfigurierte Ports zu sperren ====
  
Line 446: Line 460:
 [root@vtsttc firewalld]# [root@vtsttc firewalld]#
 </sxh> </sxh>
 +</WRAP>
 +
  
 ---- ----
  
 +<WRAP center box 100%>
 ==== Besonderheit Service FTP ==== ==== Besonderheit Service FTP ====
  
Line 466: Line 483:
 [root@vtsttc ~]# [root@vtsttc ~]#
 </sxh> </sxh>
 +</WRAP>
 +
 +
 +===== Troubleshooting =====
 +
 +Wird mit RedHat Firewall gearbeitet, so steht man oft vor dem Problem, dass eine Kommunikation nicht funktioniert. Folgende Schritte könnten hilfreich sein bei der Problemlösung:
 +
 +Firewalld abschalten: Funktioniert die Verbindung danach? Wenn JA: Ruleset überprüfen.
 +
 +
 +<WRAP center box 100%>
 +==== Port Verbindung überprüfen (nicht telnet, sondern netcat) ====
 +
 +Netcat ist default unter RedHat installiert. Netcat kann viel mehr und hat auch eine Telnet Abfrage für Ports integriert. Weiter verfügt Netcat über eine sehr gute man page!
 +
 +Zum Port debuggung deshalb mit netcat (nc) anstelle telnet arbeiten: [[https://www.digitalocean.com/community/tutorials/how-to-use-netcat-to-establish-and-test-tcp-and-udp-connections-on-a-vps|Link Digitalocean]].
 +
 +----
 +
 +<wrap em>Beispiel 1: Telnet /TCP Port Abfrage</wrap>
 +
 +Beispiele: TCP Port 10250 Verbindung überprüfen -i 1 bedeutet, dass bei einem Connect nach 1s idle Time die Verbindung geschlossen werden soll. Damit ist es möglich, in einem Loop viele Ports, oder viele Server abzufragen. (-t Telnet Abfrage) (-v Verbose)
 +
 +<sxh plain; gutter: false;>
 +[rebermi@vostm1 ~]$ nc -vt vostn1.pnet.ch 10250 -i 1
 +Ncat: Version 7.50 ( https://nmap.org/ncat )
 +Ncat: Connection refused.
 +[rebermi@vostm1 ~]$
 + 
 +[rebermi@vosme1 ~]$ nc -vt vosne1.pnet.ch 10250 -i 1
 +Ncat: Version 7.50 ( https://nmap.org/ncat )
 +Ncat: Connected to 172.18.184.14:10250.
 +Ncat: Idle timeout expired (1000 ms).
 +[rebermi@vosme1 ~]$
 +</sxh>
 +
 +----
 +
 +<wrap em>Beispiel 2: UDP Port Abfrage</wrap>
 +
 +Beispiel UDP Port Verbindung überprüfen (-u UDP Abfrage)
 +
 +<sxh plain; gutter: false;>
 +[rebermi@vostm1 ~]$  nc -vu vostn1.pnet.ch 4789 -i 1
 +Ncat: Version 7.50 ( https://nmap.org/ncat )
 +Ncat: Connected to 172.18.184.19:4789.
 +Ncat: Idle timeout expired (1000 ms).
 +[rebermi@vostm1 ~]$
 +</sxh>
 +</WRAP>
  
  • redhat/base-redhat/fw-redhat.1551879910.txt.gz
  • Last modified: 2019/03/06 14:45
  • by michael