|
|
|
Última versión: 3.0.2-1
|
Vista rápida |
|
|
Catálogo |
Sistema |
|
Categoría |
Puertas de enlace |
|
Volúmenes de usuario |
no |
|
Memoria mín. |
96 MB |
|
SO |
Linux |
|
Restricciones |
no |
NET es una puerta de enlace de salida que proporciona acceso saliente a una red situada fuera de una aplicación. NET acepta tráfico de la aplicación en su terminal in y lo envía a través de su interfaz externa a la red externa (por ejemplo, Internet).
NET tiene un cortafuegos que permite solamente tráfico saliente (conexiones y datagramas). Elimina el tráfico entrante que no sea de una conexión ya establecida o que no esté relacionado con una solicitud de datagramas. Se puede configurar NET para limitar aún más el conjunto de direcciones IP a las que se puede acceder a través de ella.
NET sirve como puerta de enlace de red predeterminada y servidor DNS para los dispositivos a su terminal in.
Importante: Solamente se deberían conectar los terminales de salida de puerta de enlace al terminal in de NET.
NET se utiliza para acceder a los servicios de fuera de una aplicación cuyos nombres de host se determinan en tiempo de ejecución (por ejemplo, las direcciones de servidor de correo que se obtienen de los registros de MX DNS o los bots de motores de búsqueda que tienen que atravesar la Web).
|
Recurso |
Mínimo |
Máximo |
Predeterminado |
|
CPU |
0.05 |
4 |
0.05 |
|
Memoria |
96 MB |
2 GB |
96 MB |
|
Ancho de banda |
1 Mbps |
2.000 Mbps |
200 Mbps |
|
Nombre |
Dir. |
Protocolo |
Descripción |
|
in |
in |
Cualquiera |
Acepta todo el tráfico de entrada. |
|
mon |
Saliente |
CCE |
Salida para las estadísticas sobre el uso de los recursos y el rendimiento. |
La interfaz externa está activada. Se utiliza para tráfico saliente. Sus valores de red se configuran a través de propiedades.
La interfaz predeterminada está activada. Se utiliza para el mantenimiento (conexiones SSH entrantes).
|
Nombre de la propiedad |
Tipo |
Descripción |
|
ip_addr |
ip_owned |
Define la dirección IP de la interfaz externa de la puerta de enlace. Esta propiedad es obligatoria. |
|
netmask |
Dirección IP |
Define la máscara de red de la interfaz externa. Esta propiedad es obligatoria. |
|
gateway |
Dirección IP |
Define la puerta de enlace de red IP predeterminada (enrutador) para la interfaz externa. Si se deja en blanco, solamente se podrá acceder al host de la misma subred que ip_addr/netmask. |
|
dns1 |
Dirección IP |
Define el servidor DNS primario al cual NET reenviará las solicitudes de DNS. Si se deja en blanco, VPN usará los servidores DNS de raíz. |
|
dns2 |
Dirección IP |
Define el servidor DNS de reserva al cual NET reenviará las solicitudes de DNS si el primario no está disponible. Si se deja en blanco, NET no usará el servidor DNS de reserva. |
|
allowed_hosts |
Cadena |
Lista de los hosts o subredes a los que se puede acceder a través de NET. Las distintas entradas se deben separar con espacios o comas. Ejemplo de formato admitido: 192.168.1.2 192.168.1.0/24 192.168.2.0/255.255.255.0. Valor predeterminado: 0.0.0.0/0 (se permite todo) |
|
denied_hosts |
Cadena |
Lista de los hosts o subredes a los que se denegará el acceso. El formato es el mismo que para allowed_hosts. Valor predeterminado: vacío (no se deniega nada) |
Los mensajes siguientes pueden aparecer en el archivo de registro del dispositivo o en el registro del sistema del controlador de grid cuando el dispositivo falla al iniciarse:
El siguiente diagrama muestra un uso típico de NET para una aplicación de servidor de correo sencilla que accede a Internet para reenviar correos mediante NET:
Resumen de las partes
in transfiere las conexiones entrantes al servidor mailman. Mailman atiende la solicitud de correo y envía el correo saliente por la puerta de enlace de red. El correo se envía en dos pasos para cada mensaje: primero, enviando una solicitud de DNS al servidor de correo de destino y luego enviando el mensaje a ese servidor. La puerta de enlace de red reenvía la solicitud de DNS del servidor mailman al servidor DNS especificado y realiza la conexión al servidor de correo de destino.
El dispositivo smtp ilustrado en el ejemplo anterior no se suministra con CA AppLogic.
En las siguientes secciones se describe la configuración de NET en varios casos de uso típicos.
En este modo, NET se configura de una manera muy similar a una puerta de enlace de red normal (por ejemplo, para conectar una LAN a Internet mediante ISP).
Ejemplo:
|
Nombre de la propiedad |
Valor |
Descripción |
|
ip_addr |
192.168.1.12 |
Dirección IP de la interfaz externa. |
|
netmask |
255.255.255.0 |
Máscara de red para la interfaz externa. |
|
gateway |
192.168.1.1 |
Puerta de enlace para la interfaz externa. |
|
dns1 |
192.168.1.2 |
Servidor DNS primario. |
|
dns2 |
192.168.2.1 |
Servidor DNS de reservas. |
Nota: Muchas compañías tienen dominios internos que se pueden resolver solamente a través de sus servidores DNS privados (por ejemplo, .local o .localdomain). Para utilizar dichos dominios, configure las propiedades dns1 y dns2 para apuntar a esos servidores DNS privados. Consulte también las posibles restricciones de host que se muestran a continuación.
En este modo, NET no necesita servidores DNS específicos y usa un conjunto de servidores de raíz de Internet preconfigurados.
Ejemplo:
|
Nombre de la propiedad |
Valor |
Descripción |
|
ip_addr |
192.168.1.12 |
Dirección IP de la interfaz externa. |
|
netmask |
255.255.255.0 |
Máscara de red para la interfaz externa. |
|
gateway |
192.168.1.1 |
Puerta de enlace para la interfaz externa. |
Importante: En este modo, NET necesita acceso a los servidores DNS de raíz (de lo contrario NET hará que todas las consultas de DNS sean erróneas). Hay que especificar la propiedad gateway.
En este modo, NET está limitado para acceder solamente a las redes especificadas, permitiendo y denegando los hosts y subredes específicos.
Ejemplo:
|
Nombre de la propiedad |
Valor |
Descripción |
|
ip_addr |
192.168.1.12 |
Dirección IP de la interfaz externa. |
|
netmask |
255.255.255.0 |
Máscara de red para la interfaz externa. |
|
gateway |
192.168.1.1 |
Puerta de enlace para la interfaz externa. |
|
dns1 |
192.168.1.2 |
Servidor DNS primario. |
|
dns2 |
192.168.2.1 |
Servidor DNS de reservas. |
|
allowed_hosts |
192.168.1.0/24 192.168.2.0/24 |
Subredes permitidas. |
|
denied_hosts |
192.168.1.4 192.168.2.4 |
No se podrá acceder a estas direcciones IP. |
Importante: En este modo, los servidores DNS deben estar dentro del conjunto de los hosts permitidos.
En general, el único tipo de terminal de salida que se debería conectar al terminal in de NET es una salida de puerta de enlace. Estas salidas son diferentes de las salidas normales, pues actúan como puertas de enlace predeterminadas para sus aplicaciones y permiten conexiones a varios host (en contraposición al acceso de un único host que ofrecen las salidas normales). Las salidas de puertas de enlace se muestran con un cuadro azul en la ilustración del terminal, mientras que las salidas normales se muestran con flechas rojas.
Notas:
NET utiliza los siguientes paquetes de fuente abierta de terceros, además de los paquetes de fuente abierta de terceros que utiliza su clase base LUX5.
|
Software |
Versión |
Modificado |
Licencia |
Notas |
|
bind |
9.3.6-4.P15_4.1 |
No |
Licencia de ISC |
Página de descargas |
|
bind-libs |
9.3.6-4.P15_4.1 |
No |
Licencia de ISC |
Página de descargas |
|
iptables |
1.3.5-1.2.1 |
No |
GPLv2 |
Página principal |
|
audit-libs |
1.7.13-2.el52 |
No |
GPLv2 |
N/D |
|
audit-libs-python |
1.7.13-2.el52 |
No |
GPLv2 |
N/D |
|
dbus |
1.1.2-12.el5_4.1 |
No |
AFLv2.1 |
N/D |
|
dbus-libs |
1.1.2-12.el5_4.1 |
No |
GPLv2 |
N/D |
|
libselinux |
1.33.4-5.5.el5 |
No |
Dominio público |
N/D |
|
libselinux-python |
1.33.4-5.5.el5 |
No |
Dominio público |
N/D |
|
libselinux-utils |
1.33.4-5.5.el5 |
No |
Dominio público |
N/D |
|
libsemanage |
1.9.14-4.4.el5 |
No |
GPLv2 |
N/D |
|
libsepol |
1.15.2-2.el5 |
No |
LGPLv2.1 |
N/D |
|
policycoreutils |
1.33.12-14.6.el5 |
No |
GPLv2 |
N/D |
El diagrama siguiente ilustra un ejemplo de cómo ofrecer túneles VPN IPv6 seguros para la replicación MySQL:
Aquí utilizamos las mismas dos aplicaciones del ejemplo anterior, pero se ejecutan en la red IPv6.
vpn1 y vpn2 se configuran con una dirección IP enrutable en las interfaces externas. vpn1 se configura para establecer un túnel a vpn2, y viceversa.
db1 del grid A envía tráfico a vpn1 para propósitos de replicación, donde se encripta y se transmite a vpn2, que es donde se desencripta el tráfico y se envía al terminal rin de db2 en el grid B. Asimismo, la replicación desde db2 en el grid B hasta db1 en el grid A se comporta de la misma manera.
vpn1:
|
Nombre de la propiedad |
Valor |
Notes |
|
ipv6_addr |
fc00:1111:1111::10/64 |
Dirección asignada a la interfaz externa. |
|
ipv6_gateway |
fc00:1111:1111::99 |
Dirección de puerta de enlace. |
|
mode |
both |
Actúa como servidor y cliente; permite la replicación en dos direcciones. |
|
tunnel |
ssh key |
Mediante archivos de clave de SSH. |
|
auth_path |
"/keys/vpn21.ssh.key" |
Ruta al archivo de clave de SSH. |
|
remote_host |
fc00:1111:2222::10 |
Dirección asignada a la interfaz externa de vpn2. |
|
tcp_ports |
3306,22 |
Puerto predeterminado para el servidor MySQL y SSH. |
|
ssh_ports |
3306,22 |
Puerto predeterminado para el servidor MySQL y SSH. |
vpn2:
|
Nombre de la propiedad |
Valor |
Notes |
|
ipv6_addr |
fc00:1111:2222::10/64 |
Dirección asignada a la interfaz externa. |
|
ipv6_gateway |
fc00:1111:2222::99 |
Dirección de puerta de enlace. |
|
mode |
both |
Actúa como servidor y cliente; permite la replicación en dos direcciones. |
|
tunnel |
ssh key |
Mediante archivos de clave de SSH. |
|
auth_path |
"/keys/vpn21.ssh.key" |
Ruta al archivo de clave de SSH. |
|
remote_host |
fc00:1111:1111::10 |
Dirección asignada a la interfaz externa de vpn1. |
|
tcp_ports |
3306,22 |
Puerto predeterminado para el servidor MySQL y SSH. |
|
ssh_ports |
3306,22 |
Puerto predeterminado para el servidor MySQL y SSH. |
| Copyright © 2012 CA. Todos los derechos reservados. |
|