参考信息 › 组件目录参考指南 › 系统目录 › 网关 › IN2：输入网关组件

IN2：输入网关组件

最新版本：1.0.0-1

功能概述

IN2 是一个输入网关，为进入应用的网络流量提供带有防火墙的入口点。

IN2 接受其外部接口上允许的所有传入流量，并通过其 out 终端传递这些流量。 IN2 仅转发通过其防火墙属性的配置明显允许的流量。 IN2 丢弃所有禁止的流量。

IN2 最多支持 4 个传入接口（协议/配对组合），如 http 和 ssh。 默认情况下，IN2 仅允许 TCP 端口 80 (http)。

IN2 用于接受应用的所有网络流量。 所有外部流量必须通过 IN2 网关，这样才能访问应用中的任何资源或服务。

边界

资源

终端

in 终端用于入站流量。 此终端通过“应用配置编辑器”的“接口”选项卡进行配置。

默认接口已启用。 用于维护（传入 ssh 连接）。

用户卷

无

属性

防火墙配置

以下属性组为网关定义防火墙设置。 可以同时使用两个筛选器：按源 IP 地址（allowed_hosts 和 denied_hosts）和按协议/端口 (ifaceX)。 最多可以配置四个协议/端口对（接口）。

如果所有参数都保留默认值，则不允许任何流量。 要允许流量进入，请至少配置 iface1_protocol 和 iface1_port 值。

注意：

• iface4 筛选器可以配置为允许除 tcp 和 udp 之外的传入协议。
• 所有的 4 个接口可以独立进行配置；不要求有接口 1 和 2，才能有接口 3。 特别需要指出的是，即使未配置 iface3，也可以配置 iface4。
• iface4 的端口号的行为与其他端口号略有不同。 将 iface4_port 设置为 0 意味着将不对该端口号进行检查（适用于像 GRE 一样只是没有端口号的协议以及 tcp 和 udp）。 设置 iface{1,2,3}_port 将禁用接口（与将协议设置为 none 等效）。

错误消息

当组件无法启动时，网格控制器的组件日志文件或系统日志中可能会出现下列消息：

• 无法启动 iptables
• 无法设置规则（退出代码 code）；使用备份规则集
• 无法设置备份规则集（退出代码 code）

典型用法

简单输入防火墙

下图显示将 IN2 用于简单 Web 服务器应用的典型用法：

部件摘要

• in2－输入网关
• web1－Web 服务器组件

in2 在其 in 终端上接受 HTTP 请求，并通过其 out 终端将请求传递到 web1。

示例：

有效的 IP 地址必须针对由网格控制器提供的可用 IP 地址池的 in 终端进行配置。 in 终端的子网掩码和网关将自动取自网格控制器。

高级防火墙

在该示例中，网关配置为允许 HTTP 和 HTTPS 协议，以及 PPTP 协议（由 MS Windows VPN 使用）。

示例：

有效的 IP 地址必须针对由网格控制器提供的可用 IP 地址池的 in 终端进行配置。 in 终端的子网掩码和网关将自动取自网格控制器。

请注意该示例中为 GRE 协议使用了 iface4。 即使未填入编号较低的接口，也可以填入 iface4。

注释

• 如果 allowed_hosts 和 denied_hosts 列表中直接列出了某个主机，或者以子网一部分的形式列出了某个主机，将会拒绝该主机的访问权限。 IN2 首先拒绝所有被拒绝的主机，然后只允许“允许的主机”列表中的主机（标准安全做法）。
• 应用不能使用 IN2 访问外部服务。 应用可以通过 OUT2 和 NET2 网关访问外部服务（传出流量）。
• 尚未使用除 tcp 和 udp 以外的其他协议测试 iface4_protocol（原因是缺少支持 GRE 或其他非 tcp/udp 协议的组件）。

组件内所用的开源和第三方软件

IN2 除了使用其基类 LUX6 所用的第三方开源软件包之外，还使用下列第三方/开源软件包。