25 августа 2021
Fudo Getting Started
03. Режимы работы листенеров: transparent
В Fudo есть целых 4 режима работы листенеров, в этой статье мы подробно поговорим о, так называемом, прозрачном режиме, в котором пользователь подключается к целевому хосту, предоставляя его фактический IP-адрес.
Fudo PAM модерирует соединение с удаленным хостом, используя IP-адрес пользователя. Этот вариант требует развертывания Fudo PAM в режиме моста.
Сначала бы хотелось подробнее рассказать о том, как развернуть Fudo в режиме моста. В нашем примере будет показано, как сделать это на виртуальном оборудовании, но спешу уверить, что на физическом настройка точно такая же.
Для начала нам нужно собрать изолированную сеть, в которой все пакеты будут проходить через Fudo.
1. Создать vSwitch A. Убедитесь, что Promiscuous mode and Forged transmits включены.
Fudo PAM модерирует соединение с удаленным хостом, используя IP-адрес пользователя. Этот вариант требует развертывания Fudo PAM в режиме моста.
Сначала бы хотелось подробнее рассказать о том, как развернуть Fudo в режиме моста. В нашем примере будет показано, как сделать это на виртуальном оборудовании, но спешу уверить, что на физическом настройка точно такая же.
Для начала нам нужно собрать изолированную сеть, в которой все пакеты будут проходить через Fudo.
1. Создать vSwitch A. Убедитесь, что Promiscuous mode and Forged transmits включены.
2. Создайте группу портов PG1. Установите vSwitch A в качестве коммутатора группы и убедитесь, что все параметры безопасности унаследованы от vSwitch.
Идентификатор VLAN не является обязательным. (сети VLAN не будут используется в этом примере).
Идентификатор VLAN не является обязательным. (сети VLAN не будут используется в этом примере).
3. Создайте vSwitch B с теми же настройками безопасности, что и в коммутаторе A.
4. Создайте группу портов PG2 и установите vSwitch B в качестве коммутатора группы.
Также убедитесь, что все параметры безопасности унаследованы от vSwitch.
5. Подключите сетевую карту тестовой станции brtest1 к vSwitch A.
6. Подключите сетевую карту тестовой станции brtest2 к vSwitch B.
7. Добавьте два новых интерфейса в FUDO - один подключен к vSwitch A, а другой подключен к vSwitch B.
8. Перезагрузите FUDO с помощью графического интерфейса.
9. После того, как FUDO вернется в режим онлайн, войдите в консоль графического интерфейса и проверьте, есть ли у вас два новых интерфейса.
4. Создайте группу портов PG2 и установите vSwitch B в качестве коммутатора группы.
Также убедитесь, что все параметры безопасности унаследованы от vSwitch.
5. Подключите сетевую карту тестовой станции brtest1 к vSwitch A.
6. Подключите сетевую карту тестовой станции brtest2 к vSwitch B.
7. Добавьте два новых интерфейса в FUDO - один подключен к vSwitch A, а другой подключен к vSwitch B.
8. Перезагрузите FUDO с помощью графического интерфейса.
9. После того, как FUDO вернется в режим онлайн, войдите в консоль графического интерфейса и проверьте, есть ли у вас два новых интерфейса.
10. Добавьте интерфейс моста, нажав кнопку «Bridge».
11. Добавьте интерфейсы net6 и net7 (в нашем случае) в качестве участников моста.
11. Добавьте интерфейсы net6 и net7 (в нашем случае) в качестве участников моста.
12. Добавьте IP-адрес моста, в нашем случае это 10.11.76.99/24.
ВАЖНО: IP-адрес, который вы назначаете мосту, ДОЛЖЕН быть от в IP-сети VLAN, которую вы используете в качестве моста. Fudo должен быть в состоянии достичь целевой сервер, использующий L2 - запись ARP должна быть в ARP таблице Fudo.
В итоге у нас получается вот такая схема:
Теперь остается завести пользователя (у нас есть заранее заведенный пользователь Testuser, которого мы будем использовать в этом и дальнейших примерах), сервер, аккаунт, листенер и хранилище, о которых подробно мы рассказали в предыдущей статье.
Важным фактором является то, что подключать по HTTP/S используя прозрачный режим нельзя, поэтому мы будем рассматривать протоколы: RDP, SSH, MySQL.
Целевой RDP сервер с ip-адресом: 10.11.76.101, а листенер для него будет выглядеть так:
Важным фактором является то, что подключать по HTTP/S используя прозрачный режим нельзя, поэтому мы будем рассматривать протоколы: RDP, SSH, MySQL.
Целевой RDP сервер с ip-адресом: 10.11.76.101, а листенер для него будет выглядеть так:
Теперь остается только зайти на нашу основную машину и подключиться к целевому хосту, используя его фактический адрес и пользователя, заведенному внутри Fudo:
Плюс прозрачного режима в том, что пользователю не нужно использовать сторонние адреса для подключения к целевому хосту:
Целевой SSH сервер с ip-адресом: 10.11.76.102, а листенер для него будет выглядеть так:
Подключаемся также, используя адрес целевого хоста:
Подключаемся также, используя адрес целевого хоста:
В данной статье мы ознакомились с примерами и настройкой режима transparent. Этот режим создан скорее для плоских сетей, в которых пакету некуда маршрутизировать.