Referenzinformationen › Appliance-Katalog-Referenzhandbuch › Systemkatalog › Gateways › NET2: Teilnetz-Ausgabe-Gateway-Appliance

NET2: Teilnetz-Ausgabe-Gateway-Appliance

Aktuelle Version: 1.0.0-1

Funktionsübersicht

NET2 ist ein Ausgabe-Gateway, der Zugriff auf ein Netzwerk außerhalb einer Anwendung gewährt. NET2 akzeptiert Datenverkehr von der Anwendung auf seinem in-Terminal und leitet ihn über seinen out-Terminal an das äußere Netzwerk (z. B. das Internet) weiter.

NET2 verfügt über eine Firewall, die nur ausgehenden Datenverkehr zulässt (Verbindungen und Datagramme); er lässt eingehenden Datenverkehr, der für keine bereits bestehende Verbindung bestimmt ist oder sich nicht auf eine Datagramm-Anfrage bezieht, fallen. NET2 kann so konfiguriert werden, dass der Satz an erreichbaren IP-Adressen weiter eingeschränkt wird.

NET2 fungiert als standardmäßiges Netzwerk-Gateway und DNS-Server für die Appliances, die mit seinem Terminal "in" verbunden sind.

Hinweis: Nur Gateway-Ausgabe-Terminals sollten mit dem in-Terminal von NET2s verbunden sein.

NET2 wird für den Zugriff auf Services außerhalb einer Anwendung verwendet, deren Hostnamen zur Laufzeit bestimmt werden (z. B. Mailserveradressen, die von MX DNS-Datensätzen oder Suchmaschinenkomponenten abgerufen wurden, die das Web durchsuchen müssen).

Begrenzung

Ressourcen

Terminals

Der out-Terminal wird für ausgehenden Datenverkehr verwendet. Dieser Terminal wird über der Registerkarte "Schnittstellen" im Anwendungskonfigurations-Editor konfiguriert.

Die Standardschnittstelle. Sie wird für Wartungszwecke verwendet (eingehende SSH-Verbindungen).

Benutzer-Volumes

Keine

Eigenschaften

Fehlermeldungen

Die folgenden Meldungen können entweder in der Appliance-Protokolldatei oder im Systemprotokoll der Grid-Steuerung angezeigt werden, wenn die Appliance nicht startet:

• iptables failed to start
• named service failed to start
• Regeln konnten nicht eingerichtet werden (Beendigungscode Code) mithilfe des Sicherungsregelsatzes
• Sicherungsregelsatz konnte nicht eingerichtet werden (Beendigungscode Code)

Typische Verwendung

Das folgende Diagramm zeigt die typische Verwendung von NET2 für eine einfache Mailserveranwendung, die zur E-Mail-Weiterleitung mit NET2 auf das Internet zugreift:

Teileübersicht

• in2 - Eingabe-Gateway-Appliance, Klasse "IN2"
• mailman - SMTP-Server-Appliance, Klasse "MTA"
• out2 - Ausgabe-Gateway-Appliance, Klasse "NET2"

in2 durchläuft eingehende Verbindungen zum mailman-Server. Mailman verarbeitet die Mailanfrage und sendet ausgehende Mail durch das Gateway "net2". Die Mail wird in zwei Schritten für jede Meldung gesendet: zuerst wird eine DNS-Anfrage für den Ziel-Mailserver gesendet und dann wird die Meldung an diesen Server gesendet. Das Gateway "net2" leitet die DNS-Anfrage vom mailman-Server an den angegebenen DNS-Server weiter und stellt die Verbindung dem Ziel-Mailserver her.

Die folgenden Abschnitte beschreiben die Konfiguration von NET2 für einige typische Anwendungsfälle:

Uneingeschränkter Zugriff auf Standarddomänen

In diesem Modus wird NET2 ganz ähnlich wie ein normaler Netzwerk-Gateway konfiguriert (z. B. für den Anschluss eines LAN an das Internet mithilfe von ISP).

Beispiel:

Eine gültige IP-Adresse muss für den out-Teminal aus dem Pool der verfügbaren IP-Adressen konfiguriert sein, der von der Grid-Steuerung angegeben wird. Netzmaske und Gateway für out-Terminal werden automatisch von der Grid-Steuerung übernommen.

Hinweis: Viele Unternehmen verfügen über interne Domänen, die nur durch ihre privaten DNS-Server aufgelöst werden können (z. B. .local oder .localdomain). Um solche Domänen zu verwenden, konfigurieren Sie die Eigenschaften "dns1" und "dns2" so, dass sie auf diese privaten DNS-Server zeigen. Unten finden Sie weitere Informationen zur Host-Beschränkungsfunktion.

Uneingeschränkter Zugriff auf Standarddomänen mithilfe von Stamm-DNS-Servern.

In diesem Modus benötigt NET2 keine bestimmten DNS-Server und verwendet einen Satz vorkonfigurierter Internet-Stammserver.

Beispiel:

Eine gültige IP-Adresse muss für den out-Teminal aus dem Pool der verfügbaren IP-Adressen konfiguriert sein, der von der Grid-Steuerung angegeben wird. Netzmaske und Gateway für out-Terminal werden automatisch von der Grid-Steuerung übernommen.

In diesem Modus benötigt NET2 Zugriff auf die Stamm-DNS-Server (anderenfalls schlagen alle DNS-Abfragen bei NET2 fehl).

Uneingeschränkter Zugriff auf Standarddomänen mithilfe von Stamm-DNS-Servern.

In diesem Modus benötigt NET2 keine bestimmten DNS-Server und verwendet einen Satz vorkonfigurierter Internet-Stammserver.

Beispiel:

Eine gültige IP-Adresse muss für den out-Teminal aus dem Pool der verfügbaren IP-Adressen konfiguriert sein, der von der Grid-Steuerung angegeben wird. Netzmaske und Gateway für out-Terminal werden automatisch von der Grid-Steuerung übernommen.

Wichtig! In diesem Modus benötigt NET2 Zugriff auf die Stamm-DNS-Server (anderenfalls schlagen alle DNS-Abfragen bei NET2 fehl).

Eingeschränkter Zugriff auf private Domänen

In diesem Modus ist der Zugriff von NET2 auf die festgelegten Netzwerke beschränkt; bestimmte Hosts und Teilnetze werden dabei zugelassen und abgelehnt.

Beispiel:

Eine gültige IP-Adresse muss für den out-Teminal aus dem Pool der verfügbaren IP-Adressen konfiguriert sein, der von der Grid-Steuerung angegeben wird. Netzmaske und Gateway für out-Terminal werden automatisch von der Grid-Steuerung übernommen.

Hinweis: In diesem Modus müssen die DNS-Server sich innerhalb des Satzes zugelassener Hosts befinden.

Hinweise

Im Allgemeinen ist die Gateway-Ausgabe der einzige Typ von Ausgabe-Terminal, der an das Terminal "in" von NET2 angeschlossen werden sollte. Diese Ausgaben unterscheiden sich von normalen Ausgaben, da sie als "Standard-Gateways" für die Appliances dienen und mehrere Verbindungen zu mehreren Hosts ermöglichen (im Gegensatz zum Einzel-Host-Zugriff von normalen Ausgaben). Gateway-Ausgaben sind optisch mit einem blauen Viereck in der Form des Terminals gekennzeichnet, während normale Ausgaben mit roten Pfeilen angezeigt werden (siehe obiges Verwendungsbeispiel).

Weitere Informationen zu den Typen von Ausgabe-Terminals finden Sie im Referenzhandbuch zur ADL.

• Durch den Anschluss eine normalen Ausgabe an den NET2-Gateway werden nur DNS-Auflösungen bereitgestellt. Diese Verwendung von NET2-Gateways (als DNS-Auflösungsdienst) ist zulässig.
• Wenn ein Host vorhanden ist, direkt oder als Bestandteil eines Teilnetzes, und in beiden Listen "allowed_hosts" und "denied_hosts" aufgeführt wird, wird der Zugriff zu diesem Host durch NET2 verweigert. NET2 lehnt zunächst alle abgelehnten Hosts ab und akzeptiert dann nur die erlaubten Hosts (Standardsicherheitsmaßnahme).
• Wenn Ihre Anwendung keinen Zugriff auf ein ganzes Netzwerk, sondern nur auf einen bestimmten Host benötigt (z. B. ftp.CA.com), bietet sich die Verwendung der Gateway-Appliance OUT2 an.
• NET2 wird nicht zum Bereitstellen eingehender Anfragen für eine Anwendung verwendet. Die eingehende Anfrage kann mithilfe der IN2-Gateway-Appliance verarbeitet werden.

In der Appliance verwendete Open-Source- und Drittanbieter-Software

NET2 verwendet zusätzlich zu den Drittanbieter-Open-Source-Paketen der jeweiligen Basisklasse LUX6 die folgenden Drittanbieter-Open-Source-Pakete.