Neste tutorial você adquirirá conhecimentos e habilidades relacionadas à análise de fluxo de rede bem como a área de segurança. Você poderá examinar os dados de fluxo de rede capturados e identificar padrões, tendências e anomalias no tráfego de rede. Isso pode ajudar a detectar atividades suspeitas, como ataques cibernéticos, tráfego malicioso ou congestionamentos.

Distribuição Utilizada

Debian 12 bookworm (Instalação Limpa)

Requisitos de hardware

Para o que vamos utilizar aqui não precisamos nada tão agressivo, porém o armazenamento vai depender muito de quanto tempo você for deixar salvo, em média você pode colocar 2GB a 4GB (por source) de dados por dias (mas isso é bem relativo), em questão de CPU e memoria 2 CPU e 2GB de memória já da conta, mas se puder coloca mais melhor para processar os dados.

Pacotes Requeridos

# apt install \
 curl wget unzip man-db tcpdump htop tree dialog git \
 build-essential autoconf pkg-config flex byacc bison \
 php php-dev apache2 libapache2-mod-php autogen \
 libtool librrd-dev libbz2-dev libpcap-dev rrdtool \
 libcurl4-openssl-dev librrds-perl libsocket6-perl \
 librrdp-perl libio-socket-inet6-perl libmailtools-perl \
 libnet-telnet-perl libnet-whois-ip-perl libnet-snmp-perl \
 libio-socket-ssl-perl libgd-perl git -y

Crie o diretório onde iremos baixar nossos arquivos extras

# mkdir /root/nf

NFDUMP

NFDUMP é um conjunto de ferramentas para coletar e processar dados netflow/ipfix e sflow, enviados de dispositivos compatíveis com netflow/sflow.

O conjunto de ferramentas contém vários coletores para coletar dados de fluxo:

• nfcapd suporta netflow v1, v5/v7, v9 e IPFIX
• sfcapd suporta sflow.
• nfpcapd converte dados pcap lidos de uma interface de host ou de arquivos pcap.

O nfdump possui um filtro de fluxo muito poderoso para processar fluxos. A sintaxe do filtro é muito semelhante ao tcpdump, mas adaptada e estendida para filtragem de fluxo. Um filtro de fluxo também pode conter matrizes de muitos milhares de endereços IP, etc., para pesquisar registros específicos.

O nfdump pode agregar fluxos de acordo com um número de elementos definido pelo usuário. Isso mascara certos elementos e permite somar registros de fluxo correspondentes aos mesmos valores.

A combinação de filtragem e agregação de fluxo como entrada para qualquer estatística de fluxo permite processamento de fluxo complexo. Os dados de fluxo pré-filtrados e agregados também podem ser gravados de volta em um arquivo de fluxo binário, que novamente pode ser processado com nfdump

O nfdump pode enriquecer a listagem de fluxos com informações de localização geográfica e informações de AS, a menos que as informações de AS já estejam disponíveis nos registros de fluxo. Os endereços IP podem ser marcados com um código de país de duas letras ou com uma etiqueta de localização mais longa contendo a região geográfica, o país e a cidade. A localização geográfica e as informações AS são recuperadas do banco de dados geoDB opcional, criado pelo programa geolookup das ferramentas nfdump. geolookup usa o banco de dados Maxmind GeoDB ou GeoLite2 para criar um banco de dados de pesquisa binária para nfdump.

Instalação:
O nfdump até se encontra no repositório do Debian 12 (na versão 1.7.1) como um serviço de coleta, como a ideia é mais voltada a depois utilizar o nfsen, irei baixar a ultima versão que inclusive tem alguns recursos interessantes que você pode se aprofundar posteriormente.

# mkdir /root/nf
# cd /root/nf
# git clone https://github.com/phaag/nfdump.git
# cd nfdump
# ./autogen.sh

Na compilação podemos ativar algumas features adicionais, para ver mais sobre use o comando:

# ./configure --help

Estarei instalando as seguintes: (–enable-influxdb –enable-maxmind opcional)

# ./configure --enable-nfprofile --enable-nftrack --enable-jnat --enable-influxdb --enable-maxmind 
# make ; make install

Atualize o cache das bibliotecas dinâmicas.

# ldconfig

Iremos ter uma lista de novos binários em /usr/local/bin/

├── geolookup
├── nfanon
├── nfcapd
├── nfdump
├── nfexpire
├── nfprofile
├── nfreplay
├── nftrack
└── updateGeoDB.sh

Configure seu roteador para enviar dados de netflow para porta 2055, e com o comando a baixo vamos analisar se os mesmo estão chegando em nosso servidor e capturados pelo nfcap.

# nfcapd -E -p 2055 -w /tmp/

Verbose log level: 3
Add flow source: ident: none, IP: any IP, flowdir: /tmp
Bound to IPv4 host/IP: any, Port: 2055
Init v1
Init v5/v7: Default sampling: 1
Init v9: Max number of v9 tags enabled: 105, default sampling: 1
Init IPFIX: Max number of ipfix tags enabled: 88, default sampling: 1
Startup nfcapd.
Process_v9: New v9 exporter: SysID: 1, Domain: 2166325505, IP: 10.10.10.255
Process_v9: New v9 exporter: SysID: 2, Domain: 18841857, IP: 10.10.10.255
^CFile Block Header: type: 3, size: 64, NumRecords: 2
Ident: 'none' Flows: 0, Packets: 0, Bytes: 0, Sequence Errors: 0, Bad Packets: 0
Terminating nfcapd.

Ctrl+C Para cancelar (Não precisa deixar em execução, deixe apenas alguns segundos para ver se esta chegando os flows)

# ls -lh /tmp/nfcapd.*

Se tudo ocorreu bem você ira ter uma arquivo da captura com o nome nfcapd.AAAAMMDDHHMM [ANO MÊS DIA HORA MINUTO]

-rw-r--r-- 1 root root 149K jul 11 14:54 /tmp/nfcapd.202307111450

Nfdump é muito poderoso, para dar apenas uma provinha do que estamos falando testes os comandos a baixo para visualizar as saídas. O ultimo comando você vai gostar!

# nfdump -r /tmp/nfcapd.202307111450
# nfdump -r /tmp/nfcapd.202307111450 dst ip 8.8.8.8
# nfdump -r /tmp/nfcapd.202307111450 dst ip 8.8.8.8 and dst port 53
# nfdump -r /tmp/nfcapd.202307111500 dst port 80 or dst port 443 -s srcip/bytes
# nfdump -r /tmp/nfcapd.202307111450 -s record/bytes
# nfdump -r /tmp/nfcapd.202307111450 -s dstip/bytes
# nfdump -r /tmp/nfcapd.202307111450 -s dstas/bytes
# nfdump -r /tmp/nfcapd.202307111450 -s dstas/bytes
# nfdump -r /tmp/nfcapd.202307111450 'net 200.200.200.0/22 and (dst port 80 or dst port 443)' -s dstas/bytes -n 20

Para mais informações de como utiliza-lo use comando man para ver o manual do nfdump.

# man nfdump

Mas não se preocupe ainda em aprender todas as possibilidades, para isso vamos aprender agora utilizar duas ferramentar que poderão ser uteis para você. Mas ler esse manual não vai cair o braço.

NFSEN

O NfSen é uma ferramenta de código aberto para análise e visualização de dados de fluxo de rede. Com uma interface web intuitiva (estilo anos 90 ), ele coleta registros de fluxo de diferentes dispositivos e os apresenta de forma compreensível. Além disso, oferece recursos avançados, como detecção de ataques e armazenamento de dados de fluxo histórico, tornando-o uma opção popular para monitoramento e solução de problemas em redes de grande porte.

# cd /root/nf
# wget https://github.com/phaag/nfsen/archive/v1.3.9.tar.gz
# tar -vxzf v1.3.9.tar.gz
# cd nfsen-1.3.9
# sed -i 's/\$USER\s*=\s*"netflow";/\$USER    = "www-data";/' etc/nfsen-dist.conf
# sed -i 's/\$WWWUSER\s*=\s*"www";/\$WWWUSER  = "www-data";/' etc/nfsen-dist.conf
# sed -i 's/\$WWWGROUP\s*=\s*"www";/\$WWWGROUP = "www-data";/' etc/nfsen-dist.conf
# sed -i 's/\$HTMLDIR\s*=\s*"\/var\/www\/nfsen\/";/\$HTMLDIR    = "\/var\/www\/html\/nfsen\/";/' etc/nfsen-dist.conf
# sed -i 's/\$BUFFLEN = 200000;/\$BUFFLEN = 1073741824;/' etc/nfsen-dist.conf

Vamos definir nosso enviadores de fluxos (sim você pode enviar de vários locais)

# vim etc/nfsen-dist.conf

Procure pela seguintes linhas:

%sources = (
    'Borda'        => { 'port' => '2055', 'col' => '#0D47A1', 'type' => 'netflow' },
    'Cgnat'        => { 'port' => '3055', 'col' => '#B71C1C', 'type' => 'netflow' },
);

No exemplo acima estarei incluindo analise do meu Cgnat para fins de investigação de problemas (Mas se prepare que os arquivos capturados serão gigantes). Vale lembrar que para cada source a porta não pode ser a mesma!

Caso você queira adicionar ou remover um novo source edite o arquivo /data/nfsen/etc/nfsen.conf e rode o comando /data/nfsen/bin/nfsen reconfig

Vamos criar o diretório /data/nfsen onde ficarão nossos dados do sistema.

# mkdir -p /data/nfsen
# ./install.pl etc/nfsen-dist.conf

De um ENTER ao perguntar: Perl to use: [/usr/bin/perl]

  Check for required Perl modules: All modules found.
  Setup NfSen:
  Version: 1.3.9: install.pl 2022-12-19

  Perl to use: [/usr/bin/perl]  [ENTER]
  Setup php and html files.
  mkdir /var/www/html/nfsen/

  Copy NfSen dirs etc bin libexec plugins doc ...
  Copy config file '/etc/nfsen.conf'

  In directory: /data/nfsen/bin ...
  Update script: nfsen
...
...

Vamos ajustar o timezone do PHP

# vim /etc/php/8.2/apache2/php.ini

Localize e altere: (remova “;” do início para descomentar)

date.timezone = 'America/Sao_Paulo'

# vim /etc/php/8.2/cli/php.ini

Localize e altere:

date.timezone = 'America/Sao_Paulo'

Reinicie p apache

# systemctl restart apache2

Agora vamos criar um serviço no systemd para nosso amigo nfsen

# ln -s /data/nfsen/bin/nfsen /etc/init.d/nfsen

Crie o arquivo:

# vim /lib/systemd/system/nfsen.service

Adicione:

[Unit]
Description=nfsen
After=network-online.target

[Service]
Type=simple
#Type=oneshot
RemainAfterExit=yes
ExecStart=/data/nfsen/bin/nfsen start
ExecStop=/data/nfsen/bin/nfsen stop
ExecReload=/data/nfsen/bin/nfsen restart
 
[Install]
WantedBy=multi-user.target

Recarregue o daemon e vamos por para rodar

# systemctl daemon-reload
# systemctl enable nfsen
# systemctl start nfsen
# systemctl status nfsen

Verificar logs

# journalctl -u nfsen 
# journalctl -u nfsen -p err

Vamos ver se as portas estão na escuta

# ss -putan | grep nfcapd

udp   UNCONN 0      0     0.0.0.0:2055     0.0.0.0:*     users:(("nfcapd",pid=20756,fd=3))
udp   UNCONN 0      0     0.0.0.0:3055     0.0.0.0:*     users:(("nfcapd",pid=20752,fd=3))

Se quiser testar se algo esta chegando o tcpdump pode ser uma boa escolha também.

# tcpdump -i enp0s3 -n udp port 2055 -T cnfp -c 10
# tcpdump -i enp0s3 -n udp port 3055 -T cnfp -c 10

Vamos entender como os dados vão ser armazenados
Em /data/nfsen/profiles-data/live/ todos nossos sources terão uma pasta, outra pasta com ano, mes, dia. Cada arquivos criado tem um intervalo de 5 minutos. Aguarde uns 15min e rode o seguinte comando:

# tree /data/nfsen/profiles-data/live/

Iremos ver que alguns arquivos e diretórios já foram criados.

├── Borda
│   ├── 2023
│   │   └── 07
│   │       └── 11
│   │           ├── nfcapd.202307111600
│   │           ├── nfcapd.202307111605
│   │           ├── nfcapd.202307111610
│   │           ├── nfcapd.202307111615
│   │           └── nfcapd.202307111620
│   └── nfcapd.current.29124
└── Cgnat
    ├── 2023
    │   └── 07
    │       └── 11
    │           ├── nfcapd.202307111600
    │           ├── nfcapd.202307111605
    │           ├── nfcapd.202307111610
    │           ├── nfcapd.202307111615
    │           └── nfcapd.202307111620
    └── nfcapd.current.29128

9 directories, 12 files

Projeto não tem uma index então para não precisar informar na url nfsen.php crie um atalho apontando para index.php

# ln -s /var/www/html/nfsen/nfsen.php /var/www/html/nfsen/index.php

Agora acesse: http://__endereco_servidor/nfsen/
E temos nossa bela interface anos 90! Não me preocupo com isso, a ferramenta é o que importa. Recomendo você dar uma olha na documentação.

NFSEN-NG

O projeto NfSen-NG é uma implementação melhorada do NfSen, que oferece recursos avançados para coleta, análise e visualização de dados de tráfego de rede. Com sua interface web intuitiva e poderosa, o “nfsen-ng” permite aos usuários monitorar e analisar o tráfego em tempo real, realizar pesquisas detalhadas em dados históricos e criar relatórios personalizados, facilitando a detecção de problemas, a análise de desempenho e a tomada de decisões relacionadas à rede.

# cd /var/www/html
# git clone https://github.com/mbolli/nfsen-ng /var/www/html/nfsen-ng
# cd /var/www/html/nfsen-ng/
# chmod +x backend/cli.php
# cp backend/settings/settings.php.dist backend/settings/settings.php
# mkdir /var/www/html/nfsen-ng/backend/datasources/data/
# chown -R www-data: /var/www/html/nfsen-ng/

Vamos fazer alguns ajustes para ler nossa mesma base de dados do nfsen.

# vim backend/settings/settings.php

Localize os sources.

        'sources' => array(
            'source1', 'source2',
        ),

Informe os seus:

        'sources' => array(
            'Borda', 'Cgnat',
        ),

Se desejar incluir algumas porta para analisar os gráficos.

        'ports' => array(
            80, 22, 53,
        ),

No meu vou alterar para:

        'ports' => array(
            0, 22, 53, 80, 443,
        ),

Localize e altere:

        'binary' => '/usr/bin/nfdump',
        'profiles-data' => '/var/nfdump/profiles-data',

Por

        'binary' => '/usr/local/bin/nfdump',
        'profiles-data' => '/data/nfsen/profiles-data',

Enable apache modules

# a2enmod rewrite expires

Configure a biblioteca RRD para o PHP

# pecl install rrd
# echo "extension=rrd.so" > /etc/php/8.2/mods-available/rrd.ini
# phpenmod rrd

Configure virtual host para ler o .htaccess

# vim /etc/apache2/sites-available/000-default.conf

Deve ficar assim:

<VirtualHost *:80>
    ServerAdmin webmaster@localhost
    DocumentRoot /var/www/html

    <Directory /var/www/html/>
        Options FollowSymLinks Indexes
        AllowOverride All
    </Directory>

    ErrorLog ${APACHE_LOG_DIR}/error.log
    CustomLog ${APACHE_LOG_DIR}/access.log combined
</VirtualHost>

Reinicie o serviço web

# systemctl restart apache2

Vamos criar um “serviço” no systemd para iniciar o /var/www/html/nfsen-ng/backend/cli.php.

# vim /lib/systemd/system/nfsen-ng.service

Adicione?

[Unit]
Description=nfsen-ng
After=network-online.target
 
[Service]
Type=simple
RemainAfterExit=yes
ExecStart=su - www-data --shell=/bin/bash -c '/var/www/html/nfsen-ng/backend/cli.php start'
ExecStop=su - www-data --shell=/bin/bash -c '/var/www/html/nfsen-ng/backend/cli.php stop'
 
[Install]
WantedBy=multi-user.target

Recarregue o daemon e vamos por para rodar

# systemctl daemon-reload
# systemctl enable nfsen-ng
# systemctl start nfsen-ng
# systemctl status nfsen-ng

Acesse agora: http://__endereco__/nfsen-ng/

Utilizando um filtro Ex: “dst as 15169 OR dst as 2906 OR dst as 32934” obtém um informações com destino aos 3 AS.

Se notar na parte verde temos o comando executado no terminal

# nfdump -M '/data/nfsen/profiles-data/live/Borda' -R '2023/07/11/nfcapd.202307111605:2023/07/11/nfcapd.202307111730' -s 'dstas/pps' 'dst as 15169 OR dst as 2906 OR dst as 32934'

Pode ser um bom “meio de você aprender os comandos”.

Algo legal do NfSen-Ng é que ele tem uma API: http://__endereco__//nfsen-ng/api/config de uma lida em https://github.com/mbolli/nfsen-ng/blob/master/README.md como utiliza, com um pouco de imaginação você pode fazer algumas coisas bem legais.

Script para ir apagando arquivos mais antigos

# mkdir /root/scripts/
# vim /root/scripts/faxina_nf.sh

Adicione (ajuste os dias para realidade do seu disco)

#!/bin/bash
  
# Defina o diretório do NFSen
nf_dir="/data/nfsen/profiles-data/live/"

#Define o número de dias a ser removido
ref_date=$(date -d '60 days ago' +%Y%m%d)

# Ativar o modo de depuração
debug=false

# Percorre os diretórios e exclui os arquivos antigos
find "$nf_dir" -type f -name 'nfcapd.*' | while read -r file; do
    # Obtém a data do arquivo em vez do diretório
    file_date=$(date -r "$file" +%Y%m%d)
    if [[ "$file_date" -lt "$ref_date" ]]; then
        if [[ "$debug" = true ]]; then
            echo "$(date -r "$file") - $file excluído"
        fi
        rm "$file"
    fi
done

Agende o script para roda todos os dias as 4h da manhã

# crontab -e

Adcione

# m h  dom mon dow   command
# Apaga coletas
00 04  *   *   *     /root/scripts/faxina_nf.sh

Reinicie o cron

# systemctl  restart cron

Para verificar o tamanho do diretório use o comando

# du -sh /data/nfsen/profiles-data/live/

E para ver o disco use:

# df -h

Gostou e quer me ajudar manter o blog?

Se quiser fazer uma doação para o café ficarei muito feliz pelo seu reconhecimento!

Se não puder doar pode deixar seu agradecimento nos comentário também ficarei feliz em saber que ajudei. Se tiver qualquer pergunta deixe-a também. Se preferir entrar em Contato clique aqui.

Abraço!

Fonte:
https://github.com/phaag/nfdump
https://github.com/phaag/nfsen
https://nfsen.sourceforge.net/
https://github.com/mbolli/nfsen-ng
https://github.com/phaag/nfinflux
https://github.com/phaag/nfexporter
https://github.com/phaag/go-nfdump

O post Guia passo a passo: Instalando NFDUMP, NFSEN e NFSEN-NG para Análise de Fluxo de Rede no Debian 12 Bookworm apareceu primeiro em Remontti.

Neste tutorial vamos aprender a configurar nossas interfaces de rede no Debian e estar pensando um pouco mais para fazer uma boa escolha na hora de realizar suas configurações.

Antes de mais nada você precisa saber o que você quer!? Qual será o cenário!? Vejo muitas pessoas cometerem um desastre nos dias hoje quando se trata em colocar um simples IP público em um servidor. E por isso escrevo este “artigo” meio que tutorial.

No Debian você pode configurar os endereços IPs bem como algumas regras no arquivo /etc/network/interfaces, irei levar como base uma instalação recém-feita:

– Instalação do Debian 13 Trixie
– Instalação do Debian 12 Bookworm
– Instalação do Debian 11 Bullseye
– Instalação do Debian 10 Buster

Irei usar o editor nano que é o que já vem instalado, mas você pode usar o editor de sua escolha.

# nano /etc/network/interfaces

Se em sua instalação você informou o endereço IPv4 seu arquivo será algo como este, ressaltando que ens18 é o nome da interface, e ela pode ser outra.

# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

source /etc/network/interfaces.d/*

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
allow-hotplug ens18
iface ens18 inet static
        address 192.168.87.3/24
        gateway 192.168.87.1
        # dns-* options are implemented by the resolvconf package, if installed
        dns-nameservers 1.1.1.1 8.8.8.8

Alterar DNS

Por mais que vimos dns-nameserver nesta parte da configuração de rede, o servidor não irá usa-los, o arquivo qual será levado em conta é o /etc/resolv.conf

# nano /etc/resolv.conf

nameserver 1.1.1.1
nameserver 1.0.0.1
nameserver 2606:4700:4700::1111
nameserver 2606:4700:4700::1001

Se sua instalação foi feita com DHCP ativo, sua configuração será:

# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

source /etc/network/interfaces.d/*

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
allow-hotplug ens18
iface ens18 inet dhcp

E ai, o que queremos ?

Planejar, é claro! Se você esta montando seu data center onde terá vários servidores, o que será melhor adorar? Quebrar um prefixo /30 para cada servidor que eu for implementar? NÃO!. Quer me ver com os olhos sangrando é ver alguém que tem vários servidores e para cada servidor o mesmo quebrou um /30 público. Pense comigo você tem 2 servidores você precisa 2 IPs, se você quebrou 2 /30 você terá sim seus 2 IPs públicos mas você acabou de jogar no LIXO outros 6 endereços IPs, e nos dias de hoje 1 único IP publico é quase como o ditado: Em terra de cego, quem tem um olho é rei?

Então o que fazer, o mais sensato é você pensar e quebrar um prefixo maior para que você não precise estar quebrando prefixos a cada servidor. Antes de mais nada imagine onde você quer chegar! Quantos servidores irá montar, quantos IPs publicos e privados irá precisar… Sempre que dou uma consultoria essa é a primeira coisa faço, “sento” com o cliente e estudo. E com base neste estudo reservamos já um/dois prefixo /29, /28 ou 27 até mesmo um /24 público/privado, vai depender muito de cada cenário, se meu cliente tem milhares de hospedagem com certeza o número de servidores em seu data center é enorme.

Outro grande erro em servidores é o NAT mal aplicado! Muitas pessoas principalmente pessoal de provedor ainda tem costume de colocar em seu Mikrotik de borda um belo NAT para fornecer internet a um servidor, ou apenas para fazer um redirecionamento de portas. Quando aplicamos regras de NAT em um roteadores causamos muitos malefícios para o bichinho! Então vamos para de fazer isso? Vou lhe ajudar!

É claro que isso é muito relativo de cada empresa, já fiz NAT com borda? Já! Depende do tamanho da empresa e organização de cada um. Então não leve ao pé da letra! Estou tentando lhe dizer o que é o melhor a ser feito!

Já fui criticado por pedir para cliente comprar uma roteador para ser apenas o gateway dos servidores. “Rudimar é louco”. E eu digo: Mais louco é quem faz NAT em roteador de borda! . Em alguns casos eu recomendo um router para ligar os servidores, pois você pode ter diversos recursos na manga, e basta você fechar um iBGP/OSPF entre seu roteador de borda com seu roteador “data”.

Exemplos

Receber IP via DHCP

O mais simples a ser feito quando seu servidor ira receber IP automaticamente.

allow-hotplug ens18
iface ens18 inet dhcp

Fixando IPv4 e IPv6

Basicamente o que iremos usar em 95% das vezes

allow-hotplug ens18
iface ens18 inet static
        address 200.200.200.2/28
        gateway 200.200.200.1

iface ens18 inet6 static
        pre-up modprobe ipv6
        address 2804:bebe:cafe::2/64
        gateway 2804:bebe:cafe::1

Adicionando Multiplos IPs

Quando quiser mais de um IP no mesmo servidor, caso for outras interfaces basta ajustar para o nome da interface

allow-hotplug ens18
iface ens18 inet static
        address 200.200.200.2/28
        gateway 200.200.200.1

iface ens18 inet static
        address 200.200.200.3/28

iface ens18 inet static
        address 200.200.201.1/32

iface ens18 inet6 static
        pre-up modprobe ipv6
        address 2804:bebe:cafe::2/64
        gateway 2804:bebe:cafe::1

iface ens18 inet6 static
        pre-up modprobe ipv6
        address 2804:bebe:cafe::3/64

iface ens18 inet6 static
        pre-up modprobe ipv6
        address 2804:bebe:ffff:ffff::ffff
        netmask 128

IP na Loopback

Você pode usar quando estiver roteando um IP (OSFP/iBGP), exemplo com FRR, porém neste caso estaria fazendo a adição dos IPs pelo próprio FRR.
Mas se você fará algum tipo de rota estática com intuito exemplo de fazer ECMP (Equal Cost Multi-Path), é importante que os IPs de anycast estejam na interface de loopback para que não tenha conflito.

auto lo 
iface lo inet loopback

iface lo inet static
        address 200.200.200.200/32

Ponto a ponto – Pointopoint

Aqui muitos ficam bugado, no meu cenário perceba que temos um servidor conectado ao roteador de borda, agora imagine, que neste roteador de borda não tem nenhum IP público por politicas de segurança, mas ai vem o estagiário e e te diz: Vamos quebrar um /30 pub! Então saiba que você não precisa fazer isso, você pode adicionar um IP ponto a ponto, onde temos IP diferente dos dois lados, então como no exemplo a baixo podemos add no nosso roteador de borda 10.50.50.1 e no nosso servidor 200.200.200.0.

allow-hotplug ens18
iface ens18 inet static
        address 200.200.200.0
        pointopoint 10.50.50.1
        netmask 255.255.255.255
        gateway 10.50.50.1

Isso funciona? É claro! E você não irá precisar deixar seu roteador de borda com IP público acessível pelo mundo, e muito menos fazer um NAT! Como sou bonzinho vou deixar aqui como você configuraria isso no seu Mikrotikão! Ficaria assim:

RouterOS# /ip address
RouterOS# add address=10.50.50.1 comment=Pointopoint interface=ether1 network=200.200.200.0

Simples não?! Testa ai! Depois me conta!

Privado com saída em origem Público

Quase que como o exemplo do pointopoint, porem em alguns roteadores não temos o suporte para fazer pointopoint, uma saída é você quebrar um prefixo privado (estou usando /30, mas se tivesses vários servidores junto faria já um prefixo maior). No exemplo então meu IP público é o 200.200.200.200/32 qual irei colocar na mesma interface da WAN que tenho o 10.33.33.2/30, logo o roteador é o 10.33.33.1. Desta forma você tem uma conversa entre as interfaces por IP privado, porem os pacotes são originados com o endereço de IP público.

allow-hotplug ens18
iface ens18 inet static
    address 200.200.200.200/32
iface ens18 inet static
    address 10.33.33.2/30
    post-up ip route add default via 10.33.33.1 src 200.200.200.200

Mas ai temos um problema, seu servidor irá gerar os pacotes de origem publico, e irá enviar para internet, mas quando o pacote estiver voltando ao chegar em seu roteador de borda é necessário que você tenha uma rotá para o mesmo. Então crie um rota estática dizendo que Destino 200.200.200.200 o gateway é 10.33.33.2 IP este do seu servidor. Ex.:

Exemplo RouterOS:

RouterOS# /ip address add address=10.33.33.1/30 interface=ether2
RouterOS# /ip route add dst-address=200.200.200.200/32 gateway=10.33.33.2

Exemplo Huawei:

ip route-static 200.200.200.200 32 10.33.33.2 preference 1 description SERVIDOR

É possível fazer isso para IPv6 também? É claro!

allow-hotplug ens18

#IPv6 Público
iface ens18 inet6 static
        pre-up modprobe ipv6
        address 2804:bebe:cafe::cafe
        netmask 128

# IPv6 Privado
iface ens18 inet6 static
        pre-up modprobe ipv6
        address fd00:a::2/64
        post-up ip -6 route add default via fd00:a::1 src 2804:bebe:cafe::cafe

Exemplo RouterOS:

RouterOS# /ipv6 address add address=fd00:a::1/64 advertise=no interface=ether2
RouterOS# /ipv6 route add dst-address=2804:bebe:cafe::cafe/128 gateway=fd00:a::2

Exemplo Huawei:

ipv6 route-static 2804:bebe:cafe::cafe 128 fd00:a::2 preference 1 description SERVIDOR

Possível problema: Resolução ARP/ND na Inicialização

Em alguns casos, pode acontecer do IP /32 (no IPv4) ou /128 (no IPv6) só começar a funcionar após um primeiro ping interno. Isso não significa que a configuração da rede esteja errada, mas sim que o kernel e o roteador precisam “descobrir” via ARP/ND como chegar a esse endereço adicional.

Esse comportamento ocorre porque, ao usar um endereço /32 (IPv4) ou /128 (IPv6), o roteador e o kernel do Linux não enviam nem respondem a requisições ARP/ND de forma “espontânea” para esse IP adicional. Somente quando há tráfego partindo do servidor (por exemplo, um ping), a troca de ARP/ND é feita e o roteador “aprende” para onde enviar os pacotes que chegam nesse IP público. Sem essa “ativação” inicial, o roteador não tem como saber que aquele IP /32 ou /128 está associado à interface do servidor.

No Debian 13 eu contornei desta forma:

allow-hotplug ens18
iface ens18 inet static
    address 200.200.200.200/32
    up ip addr add 10.33.33.200/24 dev $IFACE
    up ip route replace default via 10.33.33.1 dev $IFACE  src 200.200.200.200
    down ip route del default via 10.33.33.1 dev $IFACE || true
    down ip addr del 10.33.33.2/24 dev $IFACE || true

iface ens18 inet6 static
    address 2804:bebe:cafe::cafe/128
    up ip -6 addr add fd00:a::2/64 dev $IFACE
    up ip -6 route replace default via fd00:a::1 dev $IFACE
    down ip -6 route del default via fd00:a::1 dev $IFACE || true
    down ip -6 addr del fd00:a::1/64 dev $IFACE || true

Se ainda não resolver tente com o script:

Crie o serviço systemd

# vim /etc/systemd/system/meu_script_rede.service

Adicione:

[Unit]
Description=Rodar script após inicialização da rede
After=network-online.target
Wants=network-online.target

[Service]
Type=oneshot
ExecStart=/usr/local/bin/meu_script.sh
RemainAfterExit=yes

[Install]
WantedBy=multi-user.target

Crie o script, nele vamos incluir um ping

# vim /usr/local/bin/meu_script.sh

Ajuste IPV4_GATEWAY e IPV6_GATEWAY para seus gateway.

#!/bin/bash

# IPs
IPV4_GATEWAY="10.33.33.1"
IPV6_GATEWAY="fd00:cafe::1"

# Nº de pings
NPING=5

# Registro no log
date > /var/log/rede_inicializada.log
echo "A placa de rede foi inicializada" >> /var/log/rede_inicializada.log

# Enviar pings para forçar ARP/ND
ping -O -4 -c $NPING $IPV4_GATEWAY >> /var/log/rede_inicializada.log
ping -O -6 -c $NPING $IPV6_GATEWAY >> /var/log/rede_inicializada.log

# Espera 1 segundo
sleep 1

Dê permissão de execução:

# chmod +x /usr/local/bin/meu_script.sh

Ative o serviço no systemd e reinicie

# systemctl daemon-reload
# systemctl enable meu_script_rede
# systemctl start meu_script_rede
# systemctl status meu_script_rede

Agora, toda vez que o servidor inicializar, este script rodará e enviará alguns pings para “ativar” as tabelas ARP e ND. Você poderá verificar o arquivo /var/log/rede_inicializada.log para ver a saída dos pings. `cat /var/log/rede_inicializada.log`

Criando VLAN e adicionado IP nela

Para adicionar um IP a uma VLAN precisamos carregar o módulo 8021q, e coloca-lo para iniciar com sistema.

# modprobe 8021q
# echo "8021q" >> /etc/modules

Agora basta editar sua interface e incluir um ponto e o numero da VLAN. No exemplo VLAN 171

allow-hotplug ens18.171
iface ens18.171 inet static
       address 10.88.88.2/24

PBR – Roteamento baseado em políticas

Eu particularmente uso em Accel-ppp para separar o trafego de IPs publicos de Privados, direcionando apenas os IPs de NAT para a caixa do CGNAT. É necessário criar uma nova tabela de rotas, irei chamar de cgnat no exemplo.

# echo "100 cgnat" >> /etc/iproute2/rt_tables
# cat /etc/iproute2/rt_tables
# ip route list table main

Fecho um /30 entre router e servidor e digo que todos os IPs que 100.64.0.0./10 deve sair pela tabela de rotas com o CGNAT.

allow-hotplug ens18
iface ens18 inet static
    address 10.200.200.2/30
    post-up ip route add default via 10.200.200.1 dev ens18 table cgnat
    post-up ip rule add from 100.64.0.0/10 lookup cgnat

Blackhole

Normalmente útil em casos que você usa seu servidor como roteador. Você irá colocar após as configurações da interface o post-up passando o prefixo ou ip qual irá subir em blackhole

allow-hotplug ens18
iface ens18 inet static
    address 10.33.33.2/30
    post-up ip route add blackhole 200.200.200.128/26 metric 250 || true

Agregação

Instalar o ifenslave: Este pacote permite configurar a agregação de portas no Linux.

# apt install ifenslave

Carregar o Módulo de Bonding

# echo "bonding" | tee -a /etc/modules
# modprobe bonding

Verificar se o módulo foi carregado corretamente:

# lsmod | grep bonding

802.3ad (LACP): Ideal para aumentar a largura de banda e fornecer redundância quando conectado a um switch que suporta LACP.
balance-xor: Útil para balanceamento de carga baseado em XOR, adequado para ambientes que não suportam LACP.
balance-rr (Round Robin): Simples e eficaz para cargas de trabalho que exigem balanceamento de carga sem configuração específica do switch.
active-backup: Fornece redundância sem aumento de largura de banda, útil quando a continuidade do serviço é mais crítica do que a capacidade.
balance-tlb (Transmit Load Balancing) e balance-alb (Adaptive Load Balancing): Ambos são bons para ambientes onde a configuração do switch não pode ser alterada ou não suporta LACP. O ALB também tenta balancear o tráfego de entrada.

Aqui estão exemplos para vários modos de bonding

# vim /etc/network/interfaces

802.3ad (LACP)

Aplicação: Ideal para ambientes de alta disponibilidade e alta largura de banda, como data centers ou servidores que precisam de conexões robustas e de alta capacidade. É necessário que ambos os lados (o Debian e o switch/router) suportem LACP.

auto bond0
iface bond0 inet static
    address 192.168.0.2/24
    bond-slaves enp4s0f0 enp4s0f1
    bond-miimon 100
    bond-mode 802.3ad
    bond-xmit-hash-policy layer2+3

Balance-xor

Aplicação: Bom para ambientes onde o tráfego de rede tem padrões conhecidos que podem ser distribuídos de forma eficaz usando XOR. Pode ser usado para melhorar o desempenho quando LACP não é suportado.

auto bond0
iface bond0 inet static
    address 192.168.0.2/24
    bond-slaves enp4s0f0 enp4s0f1
    bond-miimon 100
    bond-mode balance-xor
    bond-xmit-hash-policy layer2+3

Balance-rr (Round Robin)

Aplicação: Simples e eficaz para distribuir cargas de forma equitativa sobre as interfaces físicas. Útil em ambientes onde a ordem de chegada dos pacotes não é crítica.

auto bond0
iface bond0 inet static
    address 192.168.0.2/24
    bond-slaves enp4s0f0 enp4s0f1
    bond-miimon 100
    bond-mode balance-rr

Active-backup

Aplicação: Ideal para redundância sem aumentar a largura de banda. Se a interface primária falhar, outra assumirá. Recomendado para serviços críticos que precisam de alta disponibilidade mais do que de alta capacidade.

auto bond0
iface bond0 inet static
    address 192.168.0.2/24
    bond-slaves enp4s0f0 enp4s0f1
    bond-miimon 100
    bond-mode active-backup
    bond-primary enp4s0f0

Balance-tlb (Transmit Load Balancing)

Aplicação: Útil quando a modificação de configuração do switch não é possível. Realiza o balanceamento de carga de saída de acordo com a carga atual de cada interface. Não requer suporte específico do switch.

auto bond0
iface bond0 inet static
    address 192.168.0.2/24
    bond-slaves enp4s0f0 enp4s0f1
    bond-miimon 100
    bond-mode balance-tlb

Balance-alb (Adaptive Load Balancing)

Aplicação: Similar ao balance-tlb, mas também tenta balancear o tráfego de entrada, o que pode ser útil em servidores web ou de aplicativos. Essa modalidade não requer configuração especial do switch.

auto bond0
iface bond0 inet static
    address 192.168.0.2/24
    bond-slaves enp4s0f0 enp4s0f1
    bond-miimon 100
    bond-mode balance-alb

Reiniciar o sistema para aplicar as alterações:

# reboot

Verificar o status do serviço de rede para garantir que não houve erros, e a configuração de bonding.

# systemctl status networking
# journalctl -u networking.service
# cat /proc/net/bonding/bond0

Considerações finais

Sempre que editar o arquivo /etc/network/interfaces para que as configurações sejam carregadas será necessário reiniciar seu servidor, você até pode subir a interface com auto ao invés de allow-hotplug, mas não irei abordar aqui.

Caso você queira adicionar/remover IPs manualmente (em memória/perde ao reiniciar) você pode usar o comando ip, segue exemplo, onde ens18 é o nome da interface.
Adicionar:

# ip addr add 192.168.7.7/32 dev ens18
# ip -6 addr add 2001:db8:1::1/128 dev ens18

Visualizar:

# ip address

Remover:

# ip addr del 192.168.7.7/32 dev ens18
# ip -6 addr del 2001:db8:1::1/128 dev ens18

Exibe interfaces / Endereços IPs

# ip -br a
# ip -br addr show
# ip -br link
# ip -br link show

Exibir informações sobre todas as interfaces de rede:

# ip a
# ip addr
# ip addr show

Exibir informações sobre todas as interfaces de rede IPv4:

# ip -4 a

Exibir informações sobre todas as interfaces de rede IPv6:

# ip -6 a

Exibir informações sobre uma interface de rede específica:

# ip a show eth0
# ip a list eth0
# ip a show dev eth0

Mostrar apenas interfaces em execução

# ip link ls up

Adicionar um endereço IPv4/IPv6:

# ip a add {ip_addr/mask} dev {interface}
# ip a add 10.0.1.200/255.255.255.0 dev eth0
# ip a add 10.0.1.200/24 dev eth0

Remover endereço IP

# ip a del {ipv6_addr_OR_ipv4_addr} dev {interface}
# ip a del 10.0.1.200/24 dev eth0

Desligando a interface

# ip link set dev eth1 down

Ligando a interface

# ip link set dev eth1 up

Ajusda

# man ip
# ip --help

Comandos antigos X Novo comando

Velho # ifconfig -a
 Novo # ip a

Velho # ifconfig eth0 down
 Novo # ip link set eth0 down

Velho # ifconfig eth0 up
 Novo # ip link set eth0 up

Velho # ifconfig eth0 10.0.2.24
 Novo # ip addr add 10.0.2.24/24 dev eth0

Velho # ifconfig eth0 netmask 255.255.255.0
 Novo # ip addr add 10.0.1.1/24 dev eth0

Velho # ifconfig eth0 mtu 9000
 Novo # ip link set eth0 mtu 9000

Velho # ifconfig eth0:0 10.0.2.25
 Novo # ip addr add 10.0.2.25/24 dev eth0

Velho # netstat -g
 Novo # ip maddr

Velho # route
 Novo # ip r

Velho # route add -net 10.0.2.0 netmask 255.255.255.0 dev eth0
 Novo # ip route add 10.0.2.0/24 dev eth0

Velho # route add default gw 10.0.2.254
 Novo # ip route add default via 10.0.2.254

Velho # arp -a
 Novo # ip neigh

Velho # arp -v
 Novo # ip -s neigh

Velho # arp -s 10.0.2.33 01:02:03:04:05:06
 Novo # ip neigh add 10.0.3.33 lladdr 01:02:03:04:05:06 dev eth0

Velho # arp -i eth0 -d 10.0.2.254
 Novo # ip neigh del 10.0.2.254 dev eth0

Velho # netstat
 Novo # ss

Velho # netstat -tulpn
 Novo # ss -tulpn

Velho # netstat -neopa
 Novo # ss -neopa

Espero ter colaborado com uma pequena parcela em seu conhecimento! Desculpa o português e as palavras faltando letras, é difícil conseguir tempo para vir aqui escrever e revisar, então abro meu “bloco de notas” e vou escrevendo…

Curtiu o conteúdo? Quer me ajudar manter o blog?

Se quiser fazer uma doação para o café ficarei muito feliz pelo seu reconhecimento!

Participe do canal no telegram para ficar atualizado sempre que publicar um novo tutorial.

Se não puder doar pode deixar seu agradecimento nos comentário também ficarei feliz em saber que ajudei. Se tiver qualquer pergunta deixe-a também. Se preferir entrar em Contato clique aqui.

Abraço!

O post Configurando interface de rede no Debian 10/11/12/13 apareceu primeiro em Remontti.