Catálogo del sistema › Puertas de enlace › NET: puerta de enlace de salida de red con cortafuegos (iptables).

NET: puerta de enlace de salida de red con cortafuegos (iptables).

Última versión: 3.0.2-1

Descripción general del funcionamiento

NET es una puerta de enlace de salida que proporciona acceso saliente a una red situada fuera de una aplicación. NET acepta tráfico de la aplicación en su terminal in y lo envía a través de su interfaz externa a la red externa (por ejemplo, Internet).

NET tiene un cortafuegos que permite solamente tráfico saliente (conexiones y datagramas). Elimina el tráfico entrante que no sea de una conexión ya establecida o que no esté relacionado con una solicitud de datagramas. Se puede configurar NET para limitar aún más el conjunto de direcciones IP a las que se puede acceder a través de ella.

NET sirve como puerta de enlace de red predeterminada y servidor DNS para los dispositivos a su terminal in.

Importante: Solamente se deberían conectar los terminales de salida de puerta de enlace al terminal in de NET.

NET se utiliza para acceder a los servicios de fuera de una aplicación cuyos nombres de host se determinan en tiempo de ejecución (por ejemplo, las direcciones de servidor de correo que se obtienen de los registros de MX DNS o los bots de motores de búsqueda que tienen que atravesar la Web).

Límite

Recursos

Terminales

La interfaz externa está activada. Se utiliza para tráfico saliente. Sus valores de red se configuran a través de propiedades.

La interfaz predeterminada está activada. Se utiliza para el mantenimiento (conexiones SSH entrantes).

Propiedades

Mensajes de error

Los mensajes siguientes pueden aparecer en el archivo de registro del dispositivo o en el registro del sistema del controlador de grid cuando el dispositivo falla al iniciarse:

• iptables failed to start
• named service failed to start
• Failed to set up rules (exit code <code>); using backup rule set

Failed to set up backup rule set (exit code <code>)

Uso típico

El siguiente diagrama muestra un uso típico de NET para una aplicación de servidor de correo sencilla que accede a Internet para reenviar correos mediante NET:

Resumen de las partes

• in: dispositivo de puerta de enlace de entrada, clase in.
• mailman: dispositivo de servidor SMTP, clase smtp.
• out: dispositivo de puerta de enlace de salida, clase net.

in transfiere las conexiones entrantes al servidor mailman. Mailman atiende la solicitud de correo y envía el correo saliente por la puerta de enlace de red. El correo se envía en dos pasos para cada mensaje: primero, enviando una solicitud de DNS al servidor de correo de destino y luego enviando el mensaje a ese servidor. La puerta de enlace de red reenvía la solicitud de DNS del servidor mailman al servidor DNS especificado y realiza la conexión al servidor de correo de destino.

El dispositivo smtp ilustrado en el ejemplo anterior no se suministra con CA 3Tera AppLogic.

En las siguientes secciones se describe la configuración de NET en varios casos de uso típicos.

Acceso sin restricción a dominios estándar

En este modo, NET se configura de una manera muy similar a una puerta de enlace de red normal (por ejemplo, para conectar una LAN a Internet mediante ISP).

Ejemplo:

Nota: Muchas compañías tienen dominios internos que se pueden resolver solamente a través de sus servidores DNS privados (por ejemplo, .local o .localdomain). Para utilizar dichos dominios, configure las propiedades dns1 y dns2 para apuntar a esos servidores DNS privados. Consulte también las posibles restricciones de host que se muestran a continuación.

Acceso sin restricción a dominios estándar mediante servidores DNS raíz

En este modo, NET no necesita servidores DNS específicos y usa un conjunto de servidores de raíz de Internet preconfigurados.

Ejemplo:

Importante: En este modo, NET necesita acceso a los servidores DNS de raíz (de lo contrario NET hará que todas las consultas de DNS sean erróneas). Hay que especificar la propiedad gateway.

Acceso restringido a dominios privados

En este modo, NET está limitado para acceder solamente a las redes especificadas, permitiendo y denegando los hosts y subredes específicos.

Ejemplo:

Importante: En este modo, los servidores DNS deben estar dentro del conjunto de los hosts permitidos.

Notas

Notas generales

En general, el único tipo de terminal de salida que se debería conectar al terminal in de NET es una salida de puerta de enlace. Estas salidas son diferentes de las salidas normales, pues actúan como puertas de enlace predeterminadas para sus aplicaciones y permiten conexiones a varios host (en contraposición al acceso de un único host que ofrecen las salidas normales). Las salidas de puertas de enlace se muestran con un cuadro azul en la ilustración del terminal, mientras que las salidas normales se muestran con flechas rojas.

Notas:

• Para obtener más información sobre los tipos de terminal de salida, consulte la Guía de referencia del lenguaje ADL.
• Si se conecta una salida regular a la puerta de enlace NET sólo se proporcionará resoluciones de DNS. Esto es un uso válido de la puerta de enlace NET (básicamente como un servicio de resolución de DNS).
• Si un host está presente, de forma directa o como parte de una subred, tanto en la lista allowed_hosts de los hosts permitidos como en la lista denied_hosts de los hosts denegados, NET denegará el acceso a dichos host. NET rechaza primero todos los hosts denegados y, a continuación, permite solamente aquellos que forman parte de los hosts permitidos (práctica de seguridad estándar).
• Si su aplicación no necesita acceso a una red completa pero sí a un host particular (por ejemplo, ftp.CA.com), es mejor usar el dispositivo de puerta de enlace OUT.

NET no se utiliza para proporcionar solicitudes entrantes a una aplicación. La solicitud entrante se puede gestionar mediante el dispositivo de puerta de enlace IN.

El dispositivo incluye software de código fuente y software de terceros.

NET utiliza los siguientes paquetes de fuente abierta de terceros, además de los paquetes de fuente abierta de terceros que utiliza su clase base LUX5.