Ipmaddr, iptunnel

A Unix/Linux szerverek üzemeltetése wikiből
A lap korábbi változatát látod, amilyen Józsi (vitalap | szerkesztései) 2010. január 7., 20:01-kor történt szerkesztése után volt.

Ritkábban használt linuxos hálózati segédprogramok működése és felhasználási lehetőségei: ippool, ipmaddr, iptunnel, rtacct, rtmon, ss


Tartalomjegyzék

1 Ippool

Az ippool program az IP Filter csomag része. Egy olyan segédprogram, amely az IPF ”ip pool” alrendszerének kezelésére szolgál. Segítségével ezeket az ’ip csoportokat’ (ip pool) kezelhetjük egyszerűen.

IP Filter-t valószínűleg nem nagyon kell bemutatni senkinek. Egy olyan program csomag, amely tűzfal valamint NAT szolgáltatásokat nyújt. Segítségével tetszőleges tűzfalat építhetünk rendszerünk védelmére, valamint NAT szabályokat fogalmazhatunk meg.

Egy ’ip pool’ egy csoportba fogott IP címek együttese. Több IP cím lefedésével készíthetünk ilyen, úgynevezett IP pool-okat. Ezeknek nevet adhatunk. Később ezeket a neveket felhasználhatjuk a tűzfal vagy NAT (Netwotk Address Translation) szabályok írásánál. Létező IP pool-okhoz tetszőlegesen adhatunk hozzá újabb IP címeket, vagy ki is vehetjük őket a csoportból. Előfordulhat hogy anélkül alkalmazunk IP poolíokat, hogy tudnánk róla. Ugyanis ha valamilyen tűzfal vagy NAT szabályt nem egyetlen címre, hanem egy IP cím tömbre alkalmazunk, akkor az már egy úgynevezett ’IP pool’. Ilyenkor persze nem használjuk ki az ippool eszköz számos előnyét.


Alkalmazási példák:

1. Mivel IP pool-ainkat elnevezhetjük, és ezekhez a nevesített csoportokhoz új elemeket adhatunk illetve vehetünk el, ezért segítségével adott IP címet egyszerűen távolíthatunk mondjuk egy NAT csoportból. Vagy persze hozzá is adhatjuk. A nevesített IP pool-ok használatával szabályrendszereinket könnyen tudjuk új elemekre alkalmazni. Az új IP címet csak hozzá kell adni ahhoz a csoporthoz amelyre a megfelelő szabályok már be vannak állítva.

2. NAT alkalmazásakor előfordul, hogy a belső hálózatunk túlnőtt azon, hogy egyetlen külső IP cím elég legyen hozzá. Ez esetben egyetlen IP cím helyett egy több IP-ből álló artományt használhatunk a helyi hálózat igényeink kielégítésére.


Használat: A programot az ’ippool’ paranccsal használhatjuk.

A főbb funkciói:

- csoport létrehozása/ törlése,

- elem hozzáadása/törlése a csoporthoz/csoportból,

- konfigurációs file feldolgozása,

- statisztika kiírása.


Példák:

       # ippool –l

A betöltött ip pool-okat listázhatjuk

       # ippool –A –m VALAMI –o ipf –t pool

Ezzel egy új ip pool-t hozunk létre a kernelben, VALAMI névvel (’-m VALAMI’), -o kapcsolóval azt állítjuk be, hogy milyen szabályban kívánjuk alkalmazni. A –t pedig a létrehozott pool típusát határozza meg, jelen esetben ez egy ip pool lesz.

       # ippool –a –m VALAMI –o ipf –i 192.168.100.200

Az előbb létrehozott csoporthoz hozzáadjuk a 192.168.100.200-as IP című hosztot.

       # ippool –r –m VALAMI –i 192.168.100.200

A 192.168.100.200-as IP című hoszt eltávolítása a VALAMI nevű poolíból.

       # ippool –R –m VALAMI

A VALAMI nevű ip pool eltávolítása.


2 Ipmaddr

IP program csomag része. IP MADDR –ként is használható. Segítségével multicast címeket illeszthetünk a hálózati eszközünkre.

Az IP csomag a számítógéphez tartozó hálózati eszközök konfigurálására szolgál. Segítségével elindíthatjuk, leállíthatjuk hálózati eszközeinket, beállíthatjuk azokat. Routing-al kapcsolatos konfigurálást is végezhetünk segítségével.

Az ’ipmaddr’ parancs az ip parancs egy változata. Multicast címek kezelésére szolgál. Az ’ip addr’ paranccsal analóg, csak míg az egyedi ip címet rendel a hálózati eszközhöz, addig az maddr nem egy, hanem több címet rendel az adott eszközhöz. Ilyen esetben a hálózati eszköz több ip címre küldött csomagokat is fogadott és feldolgozott.

Használat:

Az eszközt az ’ipmaddr’ paranccsal érhetjük el. Három fő funkciója van:

- multicast cím csatolása adott eszközhöz

- multicast cím leválasztása eszközről

- multicast címek listázása


Példák:

   # ipmaddr add 123.12.34.12/30 dev eth0

Az eth0 eszközhöz a 123.12.34.12/255.255.255.252 tartomány csatolása.

   # ipmaddr show

Multicast címek listázása.

   # ipmaddr del 123.12.34.12/30 dev eth0

A 123.12.34.12/255.255.255.252 tartomány leválasztása az eth0 eszközről

Alkalmazás A fő alkalmazási lehetőségei közé tartoznak különböző hálózat figyelő alkalmazások. Ilyenkor egy adott alhálózatra érkező összes csomagot megkapunk. Használhatjuk úgynevezett data streaming alkalmazásoknál is. Ilyenkor a kiszolgálóhoz egy multicast címet rendelünk, amelyeket a kliensek használhatnak. És a server-nek nem kell figyelnie a kapcsolódó klienseket, amennyiben a multicast címek valamelyikét használják. Ezzel akár sávszélességet is takaríthatunk meg.


3 Iptunnel

Szintén az IP csomag része. ’IP TUNNEL’-ként is hivatkozhatunk rá. Segítségével ip ’csatornákat’ (ip tunnel) hozhatunk létre. Ezeknek nevet is adhatunk a későbbi hivatkozáshoz.

Az IP csatorna (tunnel) olyan összeköttetés, amelyen más IP szolgáltatások teljes csomagjai küldhetők át, érintetlenül. Tulajdonképpen egy átjárót jelent a csatorna két végpontja között. Segítségével összeköthetünk két, egymással egyébként direkt kapcsolatban nem lévő hálózatot. IPSec-el kombinálva akár VPN-t (Virtual Private Network) is létre hozhatunk. (IP tunnel-ről bővebben : [1])

Használat:

A programot az ’iptunnel’ parancsal tudjuk használni.

Főbb funkciói:

IP tunnel létrehozása

IP tunnel törlése

IP tunnel információk listázása

Példák:

     # iptunnel create -I ipt5 169.14.168.86 \

Ip csatornát hoz létre a 169.14.168.86-os hoszthoz localhost-ból, ipt5 néven.

     # iptunnel delete ipt5

Az ipt5 csatorna törlése.

     # iptunnel show ipt5
     interface ipt5 src 169.14.160.91 dst 169.14.168.86 gate 169.14.160.91

Ipt5 ip csatorna informásióit írja ki

Alkalmazási:

1. IP tunnel segítségével VPN-t hozhatunk létre hálózataink között. Ehhez a két hálózaton ki kell jelölni két gépet amelyek között IP tunnel-t hozunk létre. Az egyik hálózatból a másikba irányuló csomagokat az átjáróként kinevezett géphez kell irányítani. Ha az ip csatornát pl IPSec mechanizmussal kiegészítjük, akkor egy biztonságos csatornát hozhatunk létre, amely kívülállók számára nem lehallgatható, annak ellenére hogy a publikus interneten mennek át a csomagok.

2. IP tunnel segítségével teljesítmény elosztó server-t is készíthetünk. Ehhez az kell hogy a teljesítmény elosztó server-től egy-egy ip tunnel-t hozunk létre a valódi kiszolgálókig, és az érkező kéréseket elosztjuk köztük. Az elosztó server-re érkező kérések az ip tunnel-en haladnak a valódi server-ig, így az úgy érzékeli mintha közvetlenül a klienstől jött volna, és neki is fog válaszolni. Forrás: [2]


4 Rtacct

Egyszerű hálózati statisztikai program. A kernel vagy router csomagszámlálóit listázza ki. Előnye abban rejlik, hogy ezt a listázást az egyes szabályok vagy szabály csoportok (’route realm’) alapján tudja elvégezni.

A hálózati csomagszámlálók nagyon elszaporodhatnak a router-hez kapcsolódó gépek számának növekedésével. Főleg akkor, ha minden egyes forrás és cél pár esetén külön jelenítjük meg a számlálókat. Ilyen nagyszámú kapcsolat esetén nagy előny lehet ha a listázás ilyen route realm-ek alapján történik. Ezek tulajdonképpen a routing szabályok nevei, ezeket a neveket mi adhatjuk a szabályoknak, és egy névhez több szabály is tartozhat.

Így tehát úgy tudjuk listázni a csomagszámlálókat, hogy a számukra lényeges információkat lássuk. Az egyes domain-ekhez, vagy hálózatokhoz, vagy felhasználói csoportokhoz tartozó forgalmat tudjuk kiíratni összegezve.

Példa:

     # rtacct
     Realm BytesTo PktsTo BytesFrom PktsFrom
     secure 5949K 57188 15839K 61776
     outgoing 15839K 61776 5949K 57188


5 Rtmon

Hálózat monitorozó eszköz. Hasonló, mint az ip monitor parancs. Segítségével minden hálózattal kapcsolatos eseményt figyelhetünk. A program képes figyelni és naplózni a hálózat eseményeit cím, eszköz, vagy route alapján. Ezen felül a route tábla változásait is képes figyelni és naplózni. Ezeket az eseményeket egy napló file-ban tárolja, amely később kiolvasható.

Parancs formátum: rtmon [ options ] file FILE [ all | LISTofOBJECTS ] Ahol a file argumentummal adhatjuk meg a naplófájl nevét. Az utána lévő argumentummal pedig a naplózandó objektumok listáját. Ez az objektum lehet link, address, vagy route. Az option argumentummal pedig azt állíthatjuk be, hogy milyen ip családba tartozó eseményeket naplózzon.

Használat:

     # rtmon file /var/log/rtmon.log

Segítségével minden eseményt naplózunk a megadott file-ba.


6 Rtmond

Egy másik rtmon nevű eszköz. Amely egy rtmond nevű rendszermonitorozó deamon és egy rtmon-client nevű naplózó alkalmazásból áll.

Az eszköz képes hálózaton keresztül továbbítani a gyűjtött adatokat. A figyelni kívánt gépen el kell indítani az rtmond nevű alkalmazást, amely monitorozza az adott rendszer eseményeit, felhasználói eseményeit, processor információkat. Ezeket az adatokat a kapcsolódó klienseknek továbbítja, amik naplózzák az eseményeket.

Mind a naplózó mind a monitorozó alkalmazás oldalán beállíthatjuk a figyelendő eseményeket.

Használat: Monitorozott gép (1.2.3.4):

       # rtmond

Naplózó gép:

       # rtmon-client –f naplo.file–host 1.2.3.4

Az 1.2.3.4. című host-on futó rtmond által gyűjtött információt a naplo.file-ba írja.

7 Ss

Hálózati statisztikai program. A netstat-hoz hasonló, csak gyorsabb és jobb. Röviden a netstat funkcionalitása kiegészítve szűrési funkciókkal. A socketek-t figyeli és azok statisztikáit listázza.

Kiíratható vele mindenféle információ a hálózati kapcsolatokról. Számtalan konfigurációs lehetősége lévén könnyen beállíthatjuk, hogy milyen típusú információkat akarunk listázni.

Szűrési lehetőségek: (részletes leírás: [3])

- Típus alapján: TCP (-t), UDP (-u), Raw (-r), Unix socket (-x)

- Port alapján

- Cím alapján

- Állapot alapján (connected, synchronized, all, …)

- Lehet szűrni ismert szolgáltatások típusokra

- X-server kapcsolataira

Példák:

     # ss –s
     Total: 734 (kernel 904)
     TCP:   1415 (estab 112, closed 1259, orphaned 11, synrecv 0, timewait 1258/0), ports 566
     Transport Total     IP        IPv6
     *         904       -         -
     RAW	0         0         0
     UDP	15        12        3
     TCP	156       134       22
     INET      171       146       25 
     FRAG	0         0         0

Minden kapcsolati adat listázása

     # ss -t –a

Minden TCP socket információ

     # ss -u –a

Minden UDP socket információ

     # ss -w –a

Minden RAW csomag információ

     # ss -x –a

Minden Unix socket információ

     # ss -o state established '( dport = :smtp or sport = :smtp )'

Minden felépitett smtp kapcsolat

     # ss -x src /tmp/.X11-unix/*

Minden X server-hez csatlakozott folyamat.

Személyes eszközök