# 洋葱secu-agent 安装网络联通性测试工具

## 说明：
    1.用于安装入侵检测洋葱agent,上线接入所有现网接入连通性测试工具
    2.测试目的端口默认为:Tcp 9988

## 使用方法：
    1. 上传包到服务器上rz -bye
    2. unzip onion_network_check.zip && bash onion_network_check.sh

## 判断标准：

    1.参考onion_network_check.sh脚本输出

    2.网络异常请按如下方法检查网络防火墙
        a.本机iptables -nvL |grep 9988 是否已放通出口Output 
           [未放通]
            > 如果iptables INPUT/OUTPUT -j DROP 所有。那么iptables防火墙需要增加放行9988端口有两种方法:
            方法一：
                    iptables -I INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT; 
                    iptables -I OUTPUT -p tcp -m tcp --dport 9988 -j ACCEPT;
                    本地已建立的回环包放行;OUTPUT放行9988。注意eth1替换成实际网卡
            方法二：
                    iptables -I INPUT -i eth1 -p tcp --sport 9988 -j ACCEPT;
                    iptables -I OUTPUT -p tcp -m tcp --dport 9988 -j ACCEPT;
                    eth1 替换成实际网卡

        b.检查腾讯云web防火墙安全组/咨询机房运营商防火墙规则,开通放行出口9988

        c.安全区域隔离
            识别主机网络安全区域,在 http://ticket.oa.com/net_access_control/input 申请网络安全策略
                 申请原因:接入洋葱9988申请
                 源ip:本地ip地址
                 源业务:填入实际业务描述
                 协议：Tcp
                 目的ip:./all_con_20190221.ip 
                 目的端口：9988
                 目的业务:洋葱接入层
        
        d.局域网
                建设网络Proxy正向代理中转连接方案
    
    3.洋葱重启方法(tips:洋葱agent hardcode很多目的接入ip地址,将挨个尝试上线接入,稍等5min观察EST连接):
        1. killall -s 9 secu-tcs-agent
        2. /usr/local/sa/agent/secu-tcs-agent
        3. netstat -tanulp |grep 9988

    4.如何识别主机网络安全区域/Proxy中转方案/其他疑问,咨询洋葱:luoliredli
