Перейти до вмісту
GitHub

Модуль 8.2: Адміністрування мереж

Hands-On Lab Available
Ubuntu intermediate 35 min
Launch Lab ↗

Opens in Killercoda in a new tab

Операції — LFCS | Складність: [COMPLEX] | Час: 45–55 хв

Передумови

Розділ «Передумови»

Перед початком цього модуля:

Що ви зможете робити після цього модуля

Розділ «Що ви зможете робити після цього модуля»

Після завершення цього модуля ви зможете:

  • Налаштувати мережеві інтерфейси, маршрути та DNS-резолвінг за допомогою nmcli та команд ip
  • Захистити SSH-доступ та керувати правилами файрвола через firewalld
  • Реалізувати мережевий бондінг та VLAN-тегування для резервування серверів
  • Діагностувати збої мережевого з’єднання, використовуючи систематичний підхід (канал -> IP -> маршрут -> DNS -> файрвол)

Чому цей модуль важливий

Розділ «Чому цей модуль важливий»

Знання TCP/IP кажуть вам, як течуть пакети. Цей модуль вчить вас керувати цим потоком: хто заходить, хто виходить, які інтерфейси об’єднуються разом і як захистити мережеві сервіси.

Розуміння адміністрування мереж допоможе вам:

  • Захищати сервери — файрволи є вашою першою і останньою лінією оборони.
  • Будувати надійні мережі — об’єднання інтерфейсів (bonding) запобігає поодиноким точкам збою.
  • Налаштовувати маршрутизацію — NAT та masquerading дозволяють приватним мережам виходити в Інтернет.
  • Скласти іспит LFCS — мережі займають 25% іспиту, це найбільший розділ.

Керування файрволом через firewalld

Розділ «Керування файрволом через firewalld»

Чому firewalld кращий за чистий iptables

Розділ «Чому firewalld кращий за чистий iptables»

Правила iptables потужні, але крихкі. Одна помилка — і ви втратили доступ до сервера. firewalld додає:

  • Зони (Zones): групування інтерфейсів за рівнем довіри.
  • Runtime vs Permanent: спочатку тестуйте правила, потім зберігайте.
  • Сервіси: готові набори правил (ssh, http, https тощо).

Зони (Zones)

Розділ «Зони (Zones)»

Зони визначають рівень довіри до з’єднань:

ЗонаПризначенняПоведінка за замовчуванням
publicПублічні мережіЗаборонено все, крім обраного
externalNAT/маршрутизаціяДозволяє вихідний трафік (masquerade)
internalВнутрішні мережіБільш довірлива до сервісів
trustedДовірені мережіДозволено все
Terminal window
# Список усіх активних зон
sudo firewall-cmd --get-active-zones


# Додати сервіс тимчасово (до ребуту)
sudo firewall-cmd --add-service=http


# Додати сервіс назавжди
sudo firewall-cmd --add-service=http --permanent
sudo firewall-cmd --reload

NAT та Masquerading

Розділ «NAT та Masquerading»

NAT дозволяє машинам у приватній мережі виходити в Інтернет через один сервер-шлюз.

Увімкнення пересилання IP (IP Forwarding)

Розділ «Увімкнення пересилання IP (IP Forwarding)»
Terminal window
# Тимчасово
sudo sysctl -w net.ipv4.ip_forward=1


# Назавжди
echo "net.ipv4.ip_forward = 1" | sudo tee /etc/sysctl.d/99-ip-forward.conf
sudo sysctl -p /etc/sysctl.d/99-ip-forward.conf

Налаштування Masquerading у firewalld

Розділ «Налаштування Masquerading у firewalld»
Terminal window
# Увімкнути для зовнішньої зони
sudo firewall-cmd --zone=external --add-masquerade --permanent
sudo firewall-cmd --reload

Об’єднання інтерфейсів (Bonding)

Розділ «Об’єднання інтерфейсів (Bonding)»

Bonding об’єднує декілька фізичних мережевих карт в один віртуальний інтерфейс для надійності або швидкості.

РежимНазваКоли використовувати
0balance-rrПідвищення швидкості (round-robin)
1active-backupНадійність (працює одна карта, інша чекає)
4802.3ad (LACP)Агрегація (потребує підтримки на комутаторі)

Синхронізація часу з Chrony

Розділ «Синхронізація часу з Chrony»

Точний час критичний для логів, сертифікатів та автентифікації.

Terminal window
# Перевірити статус синхронізації
chronyc tracking


# Список джерел часу
chronyc sources -v


# Негайне підведення годинника
sudo chronyc makestep

Тест

Розділ «Тест»

  1. Яка команда в firewalld застосовує всі зміни, зроблені з прапорцем --permanent?

    Відповідь `sudo firewall-cmd --reload`. Без цієї команди "постійні" зміни не вступлять в силу в поточному сеансі.

  2. Який режим bonding (об’єднання інтерфейсів) забезпечує перемикання на резервну карту при обриві кабелю без спеціальних налаштувань комутатора?

    Відповідь Режим **1 (active-backup)**. Це найпростіший та найнадійніший спосіб забезпечити відмовостійкість мережі на рівні сервера.

  3. Навіщо потрібен параметр _netdev у файлі /etc/fstab для мережевих дисків?

    Відповідь Він каже системі, що цей пристрій потребує мережі. Система чекатиме на підняття мережевих інтерфейсів перед тим, як намагатися змонтувати цей диск, що запобігає помилкам завантаження.

  4. Як дозволити доступ до порту 8080 у стандартній зоні firewalld назавжди?

    Відповідь `sudo firewall-cmd --add-port=8080/tcp --permanent` та `sudo firewall-cmd --reload`.

Практична вправа

Розділ «Практична вправа»

Завдання: Налаштувати захист сервера та перевірити мережу.

  1. Увімкніть firewalld та дозвольте SSH:
    Terminal window
    sudo systemctl enable --now firewalld
    sudo firewall-cmd --add-service=ssh --permanent
    sudo firewall-cmd --reload
  2. Перевірте, які сервіси зараз дозволені:
    Terminal window
    sudo firewall-cmd --list-services
  3. Подивіться статус синхронізації часу:
    Terminal window
    chronyc tracking
  4. Дізнайтеся свою часову зону:
    Terminal window
    timedatectl

Критерії успіху: Ви вмієте керувати правилами файрвола та розумієте стан мережевих сервісів системи.

Підсумок

Розділ «Підсумок»
  • firewalld — гнучке керування доступом через зони.
  • NAT/Masquerading — шлях до Інтернету для приватних мереж.
  • Bonding — мережева відмовостійкість.
  • Chrony — гарантія точного часу для всієї інфраструктури.

Далі: Модуль 8.3: Керування пакетами та користувачами — навчіться адмініструвати ПЗ та облікові записи в масштабах сервера.