IN2: Eingabe-Gateway-Appliance

Referenzinformationen › Appliance-Katalog-Referenzhandbuch › Systemkatalog › Gateways › IN2: Eingabe-Gateway-Appliance

IN2: Eingabe-Gateway-Appliance

Aktuelle Version: 1.0.0-1


Auf einen Blick
Katalog	System
Kategorie	Gateways
Benutzer-Volumes	ja
Min. Speicher	192 MB
Betriebssystem	Linux
Einschränkungen	no
Fragen/Kommentare	Im Forum fragen

Funktionsübersicht

IN2 ist ein Eingabe-Gateway, das einen Einstiegspunkt mit Firewall für Netzwerkverkehr in eine Anwendung bereitstellt.

IN2 akzeptiert allen erlaubten eingehenden Datenverkehr auf seiner externen Schnittstelle und leitet ihn durch sein Ausgabe-Terminal. IN2 leitet nur den Datenverkehr weiter, der durch die Konfiguration der Firewall-Eigenschaften ausdrücklich zugelassen ist. IN2 ignoriert nicht zugelassenen Datenverkehr.

IN2 unterstützt bis zu vier eingehende Schnittstellen (Protokoll/Paarkombinationen), wie HTTP und SSH. Standardmäßig erlaubt IN2 TCP-Port 80 (http).

IN2 wird für den Empfang des gesamten Netzwerkverkehr für Anwendungen verwendet. Der gesamte externe Datenverkehr muss ein IN2-Gateway passieren, um auf Ressourcen oder Services innerhalb einer Anwendung zugreifen zu können.

Begrenzung

Ressourcen

Ressource	Minimum	Maximum	Standard
CPU	0.05	4	0.05
Speicher	96 MB	2 GB	96 MB
Bandbreite	1 Mbit/s	2 Gbit/s	200 Mbit/s

Terminals

Name	Richtung	Protokoll	Description
in	in	Alle	Empfängt den gesamten eingehenden Datenverkehr für zugewiesene IPs
out	out	Alle	Sendet Datenverkehr an die Zieladresse und erhält die Antworten
mon	out	CCE	Sendet Leistungs- und Ressourcenverwendungsstatistik.

Der in-Terminal wird für eingehenden Datenverkehr verwendet. Dieser Terminal wird über der Registerkarte "Schnittstellen" im Anwendungskonfigurations-Editor konfiguriert.

Die Standardschnittstelle. Sie wird für Wartungszwecke verwendet (eingehende SSH-Verbindungen).

Benutzer-Volumes

Keine

Eigenschaften

Firewall-Konfiguration

Die folgende Eigenschaftsgruppe definiert die Firewall-Einstellungen für das Gateway. Es gibt zwei Filter, die zusammen verwendet werden können: von der Quell-IP-Adresse (allowed_hosts und denied_hosts) und von Protokoll/Port (ifaceX). Bis zu vier Protokoll/Port-Paare (Schnittstellen) können konfiguriert werden.

Wenn alle Parameter auf ihren Standardwerten belassen werden, ist kein Datenverkehr zulässig. Um Datenverkehr zu erlauben, müssen Sie mindestens iface1_protocol und iface1_port konfigurieren.

Name	Typ	Description
allowed_hosts	Zeichenfolge	Liste von Hosts und/oder Teilnetzen, die Verbindungszugriff haben. Trennen Sie mehrere Einträge mit Leerzeichen oder Kommas. Beispiel für das unterstützte Format: 192.168.1.2 192.168.1.0/24 192.168.2.0/255.255.255.0. Standard: 0.0.0.0/0 (alle erlaubt).
denied_hosts	Zeichenfolge	Liste von Hosts und/oder Subnetzen, denen eine Verbindung verweigert wird. Das Format ist das gleiche wie für "allowed_hosts". Standard: (leer) (keine Verweigerung)
iface1_protocol	Zeichenfolge	Zuzulassendes Protokoll. Optionen: none, tcp (Standard), udp
iface1_port	Zeichenfolge	Zuzulassende Portnummern oder Portnummernbereiche. Akzeptiert eine Zeichenfolge von komma- bzw. leerzeichengetrennten Werten. Port-Bereiche müssen als "lower_port:higher_port" mit Doppelpunkt oder Gedankenstrich als Trennzeichen angegeben werden (zum Beispiel 80,81,82:85 86-90). Standard: 80 (http)
iface2_protocol	Zeichenfolge	Zuzulassendes Protokoll. Optionen: none (Standard), Tcp, Udp
iface2_port	Zeichenfolge	Zuzulassende Portnummern oder Portnummernbereiche. Akzeptiert eine Zeichenfolge von komma- bzw. leerzeichengetrennten Werten. Port-Bereiche müssen als "lower_port:higher_port" mit Doppelpunkt oder Gedankenstrich als Trennzeichen angegeben werden (zum Beispiel 80,81,82:85 86-90). Standard: 0 (deaktiviert)
iface3_protocol	Zeichenfolge	Zuzulassendes Protokoll. Optionen: none (Standard), tcp, udp
iface3_port	Zeichenfolge	Zuzulassende Portnummern oder Portnummernbereiche. Akzeptiert eine Zeichenfolge von komma- bzw. leerzeichengetrennten Werten. Port-Bereiche müssen als "lower_port:higher_port" mit Doppelpunkt oder Gedankenstrich als Trennzeichen angegeben werden (zum Beispiel 80,81,82:85 86-90). Standard: 0 (deaktiviert)
iface4_protocol	Ganzzahl	Zuzulassende IP-Protokollnummer (zum Beispiel 6 für TCP, 47 für GRE). Standard: 0 (deaktiviert)
iface4_port	Zeichenfolge	Zuzulassende Portnummern oder Portnummernbereiche. Akzeptiert eine Zeichenfolge von komma- bzw. leerzeichengetrennten Werten. Port-Bereiche müssen als "lower_port:higher_port" mit Doppelpunkt oder Gedankenstrich als Trennzeichen angegeben werden (zum Beispiel 80,81,82:85 86-90). Wird nur verwendet, wenn das ausgewählte IP-Protokoll Portnummern hat (zum Beispiel "udp" und "tcp"); muss für alle anderen Protokolle auf 0 gesetzt werden. Beim Festlegen dieser Eigenschaft für tcp- oder udp-Protokolle auf 0 werden alle Ports zugelassen. Standard: 0

Hinweise:

Der iface4-Filter kann konfiguriert werden, um andere eingehende Protokolle als tcp und udp zuzulassen.
Alle vier Schnittstellen können unabhängig voneinander konfiguriert werden. Es ist nicht nötig, Schnittstelle 1 und 2 zu konfigurieren, um Schnittstelle 3 konfigurieren zu können. iface4 kann sogar auch konfiguriert werden, wenn iface3 nicht konfiguriert ist.
Die Portnummer für iface4 hat ein etwas anderes Verhalten als die anderen Portnummern. Das Festlegen von "iface4_port" auf "0" bedeutet, dass die Portnummer nicht überprüft wird (dies funktioniert sowohl für Protokolle, die keine Portnummern haben, wie GRE, als auch für "tcp" und "udp"). Durch das Festlegen von iface{1,2,3}_port wird die Schnittstelle deaktiviert (entspricht dem Festlegen des Protokolls auf "none").

Fehlermeldungen

Die folgenden Meldungen können entweder in der Appliance-Protokolldatei oder im Systemprotokoll der Grid-Steuerung angezeigt werden, wenn die Appliance nicht startet:

iptables konnte nicht gestartet werden
Regeln konnten nicht eingerichtet werden (Beendigungscode Code) mithilfe des Sicherungsregelsatzes
Sicherungsregelsatz konnte nicht eingerichtet werden (Beendigungscode Code)

Typische Verwendung

Einfache Eingabe-Firewall

Das folgende Diagramm zeigt eine typische Verwendung von IN2 für eine einfache Webserveranwendung:

Teileübersicht

in2 - Eingabe-Gateway
web1 - Webserver-Appliance

in2 akzeptiert HTTP-Anfragen auf seinem in-Terminal und gibt sie durch das out-Terminal an web1 weiter.

Beispiel:

Eine gültige IP-Adresse muss für den in-Teminal aus dem Pool der verfügbaren IP-Adressen konfiguriert sein, der von der Grid-Steuerung angegeben wird. Netzmaske und Gateway für in-Terminal werden automatisch von der Grid-Steuerung übernommen.

Eigenschaftsname	Wert	Hinweise
iface1_protocol	tcp	TCP-Datenverkehr zulassen...
iface1_port	80	nur auf Port 80 (http)

Erweiterte Firewall

In diesem Beispiel wird das Gateway so konfiguriert, dass HTTP- und HTTPS-Protokolle zugelassen werden (und das PPTP-Protokoll, das von MS Windows VPN verwendet wird).

Beispiel:

Eigenschaftsname	Wert	Hinweise
iface1_protocol	tcp	TCP-Datenverkehr zulassen...
iface1_port	80	...auf Port 80 (http)
iface2_protocol	tcp	TCP-Datenverkehr zulassen...
iface2_port	443	...auf Port 443 (https)
iface3_protocol	tcp	TCP-Datenverkehr für die PPTP-Steuerverbindung zulassen...
iface3_port	1723	...auf Port 1723 (VPN)
iface4_protocol	47	GRE-Datenverkehr für die PPTP-Verkapselung zulassen
iface4_port	0	(nicht verwendet)

Beachten Sie in diesem Beispiel die Verwendung von iface4 für das GRE-Protokoll. Es ist ok, iface4 zu füllen, auch wenn Schnittstellen mit niedrigen Zahlen nicht gefüllt werden.

Hinweise

Wenn ein Host vorhanden ist, direkt oder als Bestandteil eines Teilnetzes, und in beiden Listen allowed_hosts und denied_hosts aufgeführt wird, wird der Zugriff verweigert. IN2 lehnt zunächst alle abgelehnten Hosts ab und akzeptiert dann nur die erlaubten Hosts (Standardsicherheitsmaßnahme).
IN2 wird von der Anwendung nicht für den Zugriff externe Services verwendet. Anwendungen greifen über die Gateways OUT2 und NET2 auf externe Services (ausgehender Datenverkehr) zu.
iface4_protocol wurde nur mit TCP- und UDP-Protokollen getestet (da es keine Appliances gibt, die GRE- oder andere nicht-TCP/UDP-Protokolle unterstützen).

In der Appliance verwendete Open-Source- und Drittanbieter-Software

IN2 verwendet zusätzlich zu den Drittanbieter-Open-Source-Paketen der jeweiligen Basisklasse LUX6 die folgenden Drittanbieter-Open-Source-Pakete.

Software	Version	Geändert	Lizenz	Hinweise
iptables	1.4.7-5.1.el6_2	Nein	GPLv2	homepage