Systemkatalog › Gateways › NET - Netzwerk-Ausgabe-Gateway mit Firewall (iptables)

NET - Netzwerk-Ausgabe-Gateway mit Firewall (iptables)

Aktuelle Version: 3.0.2-1

Funktionsübersicht

NET ist ein Ausgabe-Gateway, der Zugriff auf ein Netzwerk außerhalb einer Anwendung gewährt. NET akzeptiert Datenverkehr von der Anwendung auf sein Terminal "in" und leitet ihn über seine externe Schnittstelle an das äußere Netzwerk (z. B. das Internet) weiter.

NET verfügt über eine Firewall, die nur ausgehenden Datenverkehr zulässt (Verbindungen und Datagramme); er lässt eingehenden Datenverkehr, der für keine bereits bestehende Verbindung bestimmt ist oder sich nicht auf eine Datagramm-Anfrage bezieht, fallen. NET kann so konfiguriert werden, dass der Satz an erreichbaren IP-Adressen weiter eingeschränkt wird.

NET fungiert als standardmäßiges Netzwerk-Gateway und DNS-Server für die Appliances, die mit seinem Terminal "in" verbunden sind.

Wichtig! Nur Gateway-Ausgabe-Terminals sollten mit dem Terminal "in" von NET verbunden werden.

NET wird für den Zugriff auf Services außerhalb einer Anwendung verwendet, deren Hostnamen zur Laufzeit bestimmt werden (z. B. Mailserveradressen, die von MX DNS-Datensätzen oder Suchmaschinenkomponenten abgerufen wurden, die das Web durchsuchen müssen).

Begrenzung

Ressourcen

Terminals

Die externe Schnittstelle wird aktiviert. Sie wird für ausgehenden Datenverkehr verwendet. Ihre Netzwerkeinstellungen werden über Eigenschaften konfiguriert.

Die Standardschnittstelle. Sie wird für Wartungszwecke verwendet (eingehende SSH-Verbindungen).

Eigenschaften

Fehlermeldungen

Die folgenden Meldungen können entweder in der Appliance-Protokolldatei oder im Systemprotokoll der Grid-Steuerung angezeigt werden, wenn die Appliance nicht startet:

• iptables failed to start
• named service failed to start
• Regeln konnten nicht eingerichtet werden (Beendigungscode <code>); Sicherungsregelsatz wird verwendet

Failed to set up backup rule set (exit code <code>)

Typische Verwendung

Das folgende Diagramm zeigt die typische Verwendung von NET für eine einfache Mailserveranwendung, die zur E-Mail-Weiterleitung mit NET auf das Internet zugreift:

Teileübersicht

• in - Eingabe-Gateway-Appliance, Klasse in
• mailman - SMTP-Server-Appliance, Klasse smtp
• out - Ausgabe-Gateway-Appliance, Klasse net

in durchläuft eingehende Verbindungen zum mailman-Server. Mailman verarbeitet die Mailanfrage und sendet ausgehende Mail durch das Gateway "net". Die Mail wird in zwei Schritten für jede Meldung gesendet: zuerst wird eine DNS-Anfrage für den Ziel-Mailserver gesendet und dann wird die Meldung an diesen Server gesendet. Das Gateway "net" leitet die DNS-Anfrage vom mailman-Server an den angegebenen DNS-Server weiter und stellt die Verbindung dem Ziel-Mailserver her.

Die im obigen Beispiel angezeigte SMTP-Appliance ist nicht im Lieferumfang von CA 3Tera AppLogic enthalten.

Die folgenden Abschnitte beschreiben die Konfiguration von net für einige typische Anwendungsfälle.

Uneingeschränkter Zugriff auf Standarddomänen

In diesem Modus wird NET ganz ähnlich wie ein normaler Netzwerk-Gateway konfiguriert (z. B. für den Anschluss eines LAN an das Internet mithilfe von ISP).

Beispiel:

Hinweis: Viele Unternehmen verfügen über interne Domänen, die nur durch ihre privaten DNS-Server aufgelöst werden können (z. V. .local oder .localdomain). Um solche Domänen zu verwenden, konfigurieren Sie die Eigenschaften "dns1" und "dns2" so, dass sie auf diese privaten DNS-Server zeigen. Unten finden Sie weitere Informationen zur Host-Beschränkungsfunktion.

Uneingeschränkter Zugriff auf Standarddomänen mithilfe von Stamm-DNS-Servern

In diesem Modus benötigt NET keine bestimmten DNS-Server und verwendet einen Satz vorkonfigurierter Internet-Stammserver.

Beispiel:

Wichtig! In diesem Modus benötigt NET Zugriff auf die Stamm-DNS-Server (anderenfalls schlagen alle DNS-Abfragen bei NET fehl). Die Gateway-Eigenschaft muss festgelegt werden.

Eingeschränkter Zugriff auf private Domänen

In diesem Modus ist der Zugriff von NET auf die festgelegten Netzwerke beschränkt; bestimmte Hosts und Teilnetze werden dabei zugelassen und abgelehnt.

Beispiel:

Wichtig! In diesem Modus müssen die DNS-Server sich innerhalb des Satzes zugelassener Hosts befinden.

Hinweise

Allgemeine Notizen

Im Allgemeinen ist eine Gateway-Ausgabe der einzige Typ von Ausgabe-Terminal, der an das Terminal "in" von NET angeschlossen werden sollte. Diese Ausgaben unterscheiden sich von normalen Ausgaben, da sie als Standard-Gateways für die Appliances dienen und mehrere Verbindungen zu mehreren Hosts ermöglichen (im Gegensatz zum Einzel-Host-Zugriff von normalen Ausgaben). Gateway-Ausgaben sind optisch mit einem blauen Viereck in der Form des Terminals gekennzeichnet, während normale Ausgaben mit roten Pfeilen angezeigt werden.

Hinweise:

• Weitere Informationen über die Typen von Ausgabe-Terminals finden Sie im Referenzhandbuch zur ADL.
• Durch den Anschluss eine normalen Ausgabe an den NET-Gateway werden nur DNS-Auflösungen bereitgestellt. Diese Verwendung von NET-Gateways (als DNS-Auflösungsdienst) ist zulässig.
• Wenn ein Host vorhanden ist, direkt oder als Bestandteil eines Teilnetzes, und in beiden Listen "allowed_hosts" und "denied_hosts" aufgeführt wird, wird der Zugriff zu diesem Host durch NET verweigert. NET lehnt zunächst alle abgelehnten Hosts ab und akzeptiert dann nur die erlaubten Hosts (Standardsicherheitsmaßnahme).
• Wenn Ihre Anwendung keinen Zugriff auf ein ganzes Netzwerk, sondern nur auf einen bestimmten Host benötigt (z. B. ftp.CA.com), bietet sich die Verwendung der Gateway-Appliance OUT an.

NET wird nicht zum Bereitstellen eingehender Anfragen für eine Anwendung verwendet. Die eingehende Anfrage kann mithilfe der IN-Gateway-Appliance verarbeitet werden.

In der Appliance verwendete Open Source- und Drittanbietersoftware

NET verwendet zusätzlich zu den Drittanbieter-/Open-Source-Paketen der jeweiligen Basisklasse LUX5 die folgenden Drittanbieter-/Open-Source-Pakete.