最新版本:4.1.2-1
|
概览 |
|
|
目录 |
系统 |
|
类别 |
网关 |
|
用户卷 |
否 |
|
最小 内存 |
96 MB |
|
操作系统 |
Linux |
|
约束 |
否 |
|
问题/注释
|
|
IN 是一个输入网关,为进入应用的网络流量提供带有防火墙的入口点。
IN 接受其外部接口上允许的所有传入流量,并通过其 out 终端传递这些流量。 IN 只转发其防火墙属性配置显式允许的流量;IN 将会丢弃所有不允许的流量。
IN 最多支持 4 个传入接口(协议/配对组合),如 http、ssh 等等。 默认情况下,IN 仅允许 tcp 端口 80 (http)。
IN 用于接受应用的所有网络流量。 所有外部流量必须通过 IN 网关,这样才能访问应用中的任何资源或服务。
|
资源 |
最小值 |
最大值 |
默认值 |
|
CPU |
0.05 |
4 |
0.05 |
|
内存 |
96 MB |
2 GB |
96 MB |
|
带宽 |
1 Mbps |
2 Gbps |
200 Mbps |
|
名称 |
目录 |
协议 |
说明 |
|
out |
out |
任何 |
将所有流量发送到目标地址并接收响应 |
|
mon |
out |
CCE |
发送性能和资源使用统计信息 |
外部接口已启用。 用于传入流量。 通过以下部分列出的属性配置外部接口。
默认接口已启用。 用于维护(传入的 SSH 连接)。
基本配置
以下属性组为网关定义基本网络设置。
|
属性名 |
类型 |
说明 |
|
ip_addr |
ip_owned |
定义外部接口的 IP 地址。 此属性是强制性属性。 |
|
网络掩码 |
IP 地址 |
定义外部接口的网络掩码。 此属性是强制性属性。 |
|
网关 |
IP 地址 |
定义外部接口的网关。 默认值为空(无网关)。 |
防火墙配置
以下属性组为网关定义防火墙设置。 可以同时使用两个筛选器:按源 IP 地址(allowed_hosts 和 denied_hosts)和按协议/端口 (ifaceX)。 最多可以配置四个协议/端口对(接口)。
|
属性名 |
类型 |
说明 |
|
allowed_hosts |
字符串 |
允许连接的主机和/或子网的列表。 使用空格或逗号分隔多个条目。 支持的格式示例:192.168.1.2 192.168.1.0/24 192.168.2.0/255.255.255.0。 默认值:0.0.0.0/0(全部允许) |
|
denied_hosts |
字符串 |
拒绝连接的主机和/或子网的列表。 格式与 allowed_hosts 相同。 默认值:(空)(没有连接被拒绝) |
|
iface1_protocol |
字符串 |
要允许的协议。 选项:none、tcp(默认)、udp |
|
iface1_port |
字符串 |
要允许的端口号或端口范围。 接受逗号或空格分隔值字符串。 必须以 lower_port:higher_port 格式指定端口范围,以冒号或短划线作为分隔符(例如:80,81,82:85 86-90)。 默认值:80 (http) |
|
iface2_protocol |
字符串 |
要允许的协议。 选项:none(默认)、tcp、udp |
|
iface2_port |
字符串 |
要允许的端口号或端口范围。 接受逗号或空格分隔值字符串。 必须以 lower_port:higher_port 格式指定端口范围,以冒号或短划线作为分隔符(例如:80,81,82:85 86-90)。 默认值:0(禁用) |
|
iface3_protocol |
字符串 |
要允许的协议。 选项:none(默认)、tcp、udp |
|
iface3_port |
字符串 |
要允许的端口号或端口范围。 接受逗号或空格分隔值字符串。 必须以 lower_port:higher_port 格式指定端口范围,以冒号或短划线作为分隔符(例如:80,81,82:85 86-90)。 默认值:0(禁用) |
|
iface4_protocol |
整数 |
要允许的 IP 协议编号(例如:6 表示 TCP,47 表示 GRE)。 请访问 http://www.iana.org/assignments/protocol-numbers。 默认值:0(禁用) |
|
iface4_port |
字符串 |
要允许的端口号或端口范围。 接受逗号或空格分隔值字符串。 必须以 lower_port:higher_port 格式指定端口范围,以冒号或短划线作为分隔符(例如:80,81,82:85 86-90)。 仅在选定的 IP 协议有端口号(例如:udp 和 tcp)时使用;对于所有其他协议,必须设置为 0。 为 tcp 或 udp 协议将该属性设置为 0 将允许所有端口。 默认值:0 |
注意:
当组件无法启动时,网格控制器的组件日志文件或系统日志中可能会出现下列消息:
下图显示将 IN 用于简单 Web 服务器应用的典型用法:
部件摘要
in1 在外部接口上接受 HTTP 请求,并通过其 out 终端将请求传递到 web1。
示例:
|
属性名 |
值 |
注释 |
|
ip_addr |
192.168.1.1 |
外部接口的 IP 地址 |
|
网络掩码 |
255.255.255.0 |
外部接口的网络掩码 |
|
网关 |
192.168.1.254 |
外部接口的网关 |
|
iface1_protocol |
tcp |
允许 TCP 流量... |
|
iface1_port |
80 |
...仅在端口 80 上 (http) |
在该示例中,网关配置为允许 HTTP 和 HTTPS 协议,以及 PPTP 协议(供 Microsoft Windows VPN 使用)。
示例:
|
属性名 |
值 |
说明 |
|
ip_addr |
192.168.1.1 |
外部接口的 IP 地址 |
|
网络掩码 |
255.255.255.0 |
外部接口的网络掩码 |
|
网关 |
192.168.1.254 |
外部接口的网关 |
|
iface1_protocol |
tcp |
允许 TCP 流量... |
|
iface1_port |
80 |
...在端口 80 上 (http) |
|
iface2_protocol |
tcp |
允许 TCP 流量... |
|
iface2_port |
443 |
...在端口 443 上 (https) |
|
iface3_protocol |
tcp |
允许用于 PPTP 控制连接的 TCP 流量... |
|
iface3_port |
1723 |
...在端口 1723 上 (VPN) |
|
iface4_protocol |
47 |
允许用于 PPTP 封装的 GRE 流量 |
|
iface4_port |
0 |
(未使用) |
请注意该示例中为 GRE 协议使用了 iface4。 即使未填入编号较低的接口,也可以填入 iface4。
如果 allowed_hosts 和 denied_hosts 列表中直接列出了某个主机,或者以子网一部分的形式列出了某个主机,将会拒绝该主机的访问权限。 IN 首先拒绝所有被拒绝的主机,然后只允许“允许的主机”列表中的主机(标准安全做法)。
应用不能使用 IN 访问外部服务。 应用可以通过 OUT 和 NET 网关访问外部服务(传出流量)。
尚未使用除 tcp 和 udp 以外的其他协议测试 iface4_protocol(原因是缺少支持 GRE 或其他非 tcp/udp 协议的组件)。
组件内所用的开源和第三方软件
IN 除了使用其基类 LUX6 所用的第三方开源软件包之外,还使用下列第三方/开源软件包。
|
软件 |
版本 |
已修改 |
许可 |
注释 |
|
iptables |
1.4.7-5.1.el6_2 |
No |
GPLv2 |
主页 |
|
版权所有 © 2013 CA。
保留所有权利。
|
|