redhat:base-redhat:fw-redhat

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Both sides previous revision Previous revision
Next revision		 Previous revision
redhat:base-redhat:fw-redhat [2019/03/06 14:57] michaelredhat:base-redhat:fw-redhat [2019/03/07 10:47] (current) – [Troubleshooting] michael
Line 180: Line 180:
 ==== Konfiguration im NIC Script ==== ==== Konfiguration im NIC Script ====
  
-Die konfigurierte Firewalld Zone (ZONE=internal) muss im Netzwerk Interface Script eingetragen sein, damit die Regeln korrekt funktionieren. Wird dieser Eintrag gelöscht, ist man vom System ausgesperrt.+Die konfigurierte Firewalld Zone (ZONE=internal) <wrap em>muss</wrap> im Netzwerk Interface Script eingetragen sein, damit die Regeln korrekt funktionieren. <wrap em>Wird dieser Eintrag gelöscht, ist man vom System ausgesperrt.</wrap>
  
-<sxh plain; gutter: false;>+<sxh plain; gutter: false; highlight: [9];>
 [root@vtsttc ~]# cat /etc/sysconfig/network-scripts/ifcfg-ens160 [root@vtsttc ~]# cat /etc/sysconfig/network-scripts/ifcfg-ens160
 # Generated by parse-kickstart # Generated by parse-kickstart
Line 191: Line 191:
 BOOTPROTO="static" BOOTPROTO="static"
 DEVICE="ens160" DEVICE="ens160"
 +ZONE=internal
 ONBOOT="yes" ONBOOT="yes"
 IPV6INIT="yes" IPV6INIT="yes"
 NM_CONTROLLED=no NM_CONTROLLED=no
-ZONE=internal 
 [root@vtsttc ~]# [root@vtsttc ~]#
 </sxh> </sxh>
Line 403: Line 403:
  
 <wrap em>Konfiguration interaktiv</wrap> <wrap em>Konfiguration interaktiv</wrap>
 +
 Hier wird nicht mit der Firewall Zone gearbeitet, sondern mit der Konfiguration direct Hier wird nicht mit der Firewall Zone gearbeitet, sondern mit der Konfiguration direct
  
Line 422: Line 423:
  
 <wrap em>Konfiguration /etc/firewalld/direct.xml</wrap> <wrap em>Konfiguration /etc/firewalld/direct.xml</wrap>
 +
 Der Eintrag in der "direct" Konfiguration ist  Der Eintrag in der "direct" Konfiguration ist 
  
Line 483: Line 485:
 </WRAP> </WRAP>
  
 +
 +===== Troubleshooting =====
 +
 +Wird mit RedHat Firewall gearbeitet, so steht man oft vor dem Problem, dass eine Kommunikation nicht funktioniert. Folgende Schritte könnten hilfreich sein bei der Problemlösung:
 +
 +Firewalld abschalten: Funktioniert die Verbindung danach? Wenn JA: Ruleset überprüfen.
 +
 +
 +<WRAP center box 100%>
 +==== Port Verbindung überprüfen (nicht telnet, sondern netcat) ====
 +
 +Netcat ist default unter RedHat installiert. Netcat kann viel mehr und hat auch eine Telnet Abfrage für Ports integriert. Weiter verfügt Netcat über eine sehr gute man page!
 +
 +Zum Port debuggung deshalb mit netcat (nc) anstelle telnet arbeiten: [[https://www.digitalocean.com/community/tutorials/how-to-use-netcat-to-establish-and-test-tcp-and-udp-connections-on-a-vps|Link Digitalocean]].
 +
 +----
 +
 +<wrap em>Beispiel 1: Telnet /TCP Port Abfrage</wrap>
 +
 +Beispiele: TCP Port 10250 Verbindung überprüfen -i 1 bedeutet, dass bei einem Connect nach 1s idle Time die Verbindung geschlossen werden soll. Damit ist es möglich, in einem Loop viele Ports, oder viele Server abzufragen. (-t Telnet Abfrage) (-v Verbose)
 +
 +<sxh plain; gutter: false;>
 +[rebermi@vostm1 ~]$ nc -vt vostn1.pnet.ch 10250 -i 1
 +Ncat: Version 7.50 ( https://nmap.org/ncat )
 +Ncat: Connection refused.
 +[rebermi@vostm1 ~]$
 + 
 +[rebermi@vosme1 ~]$ nc -vt vosne1.pnet.ch 10250 -i 1
 +Ncat: Version 7.50 ( https://nmap.org/ncat )
 +Ncat: Connected to 172.18.184.14:10250.
 +Ncat: Idle timeout expired (1000 ms).
 +[rebermi@vosme1 ~]$
 +</sxh>
 +
 +----
 +
 +<wrap em>Beispiel 2: UDP Port Abfrage</wrap>
 +
 +Beispiel UDP Port Verbindung überprüfen (-u UDP Abfrage)
 +
 +<sxh plain; gutter: false;>
 +[rebermi@vostm1 ~]$  nc -vu vostn1.pnet.ch 4789 -i 1
 +Ncat: Version 7.50 ( https://nmap.org/ncat )
 +Ncat: Connected to 172.18.184.19:4789.
 +Ncat: Idle timeout expired (1000 ms).
 +[rebermi@vostm1 ~]$
 +</sxh>
 +</WRAP>
  
  • redhat/base-redhat/fw-redhat.1551880659.txt.gz
  • Last modified: 2019/03/06 14:57
  • by michael