Última versión: 4.1.2-1
|
Vista rápida |
|
|
Catálogo |
Sistema |
|
Categoría |
Puertas de enlace |
|
Volúmenes de usuario |
no |
|
Memoria mín. |
96 MB |
|
SO |
Linux |
|
Restricciones |
no |
|
Preguntas o comentarios
|
|
IN es una puerta de enlace de entrada que proporciona un punto de entrada de cortafuegos para el tráfico de red en una aplicación.
IN acepta todo el tráfico de entrada permitido en la interfaz externa y lo transfiere a través del terminal out. IN envía solamente el tráfico explícitamente permitido por la configuración de las propiedades del cortafuegos. Lo que IN descarta es tráfico no permitido.
IN es compatible con hasta 4 interfaces de entrada (combinaciones de protocolo/par), como http, ssh, etc. De forma predeterminada, IN permite solamente el puerto de tcp 80 (http).
Se utiliza IN para aceptar todo el tráfico de red para las aplicaciones. Todo el tráfico externo debe pasar por una puerta de enlace de IN para acceder a los recursos o servicios de una aplicación.
|
Recurso |
Mínimo |
Máximo |
Predeterminado |
|
CPU |
0.05 |
4 |
0.05 |
|
Memoria |
96 MB |
2 GB |
96 MB |
|
Ancho de banda |
1 Mbps |
2 Gbps |
200 Mbps |
|
Nombre |
Dir. |
Protocolo |
Descripción |
|
Saliente |
Saliente |
Cualquiera |
Envía todo el tráfico a la dirección de destino y recibe las respuestas. |
|
mon |
Saliente |
CCE |
Envía estadísticas sobre uso de recursos y rendimiento. |
La interfaz externa está activada. Se utiliza para tráfico entrante. La interfaz externa está configurada a través de las propiedades indicadas en las secciones siguientes.
La interfaz predeterminada está activada. Se utiliza para el mantenimiento (conexiones SSH entrantes).
Configuración básica
El siguiente grupo de propiedad define los valores de configuración de red básicos para la puerta de enlace.
|
Nombre de la propiedad |
Tipo |
Descripción |
|
ip_addr |
ip_owned |
Define la dirección IP de red de la interfaz externa. Esta propiedad es obligatoria. |
|
netmask |
Dirección IP |
Define la máscara de red de la interfaz externa. Esta propiedad es obligatoria. |
|
gateway |
Dirección IP |
Define la puerta de enlace para la interfaz externa. El valor predeterminado es vacío (no hay puerta de enlace). |
Configuración de cortafuegos
El siguiente grupo de propiedad define los valores de configuración de cortafuegos básicos para la puerta de enlace. Hay dos filtros que se pueden utilizar juntos: por la dirección IP fuente (allowed_hosts y denied_hosts) y por el protocolo/puerto (ifaceX). Se pueden configurar hasta cuatro parejas de protocolo/puerto (interfaces).
|
Nombre de la propiedad |
Tipo |
Descripción |
|
allowed_hosts |
Cadena |
Lista de los hosts o subredes con los que se puede establecer una conexión. Las distintas entradas se deben separar con espacios o comas. Ejemplo de formato admitido: 192.168.1.2 192.168.1.0/24 192.168.2.0/255.255.255.0. Valor predeterminado: 0.0.0.0/0 (se permite todo) |
|
denied_hosts |
Cadena |
Lista de los hosts o subredes a los que se deniega la conexión. El formato es el mismo que para allowed_hosts. Valor predeterminado: vacío (no se deniega nada) |
|
iface1_protocol |
Cadena |
Protocolo para permisos. Opciones: none, tcp (valor predeterminado), udp |
|
iface1_port |
Cadena |
Números de puerto o intervalos de puertos que se deben permitir. Acepta una cadena de valores separados por espacios o comas. Los intervalos de puerto se deberán especificar como lower_port:higher_port usando dos puntos o un guión como separador (por ejemplo, 80,81,82:85 86-90). Valor predeterminado: 80 (http) |
|
iface2_protocol |
Cadena |
Protocolo para permisos. Opciones: none (valor predeterminado), tcp o udp |
|
iface2_port |
Cadena |
Números de puerto o intervalos de puertos que se deben permitir. Acepta una cadena de valores separados por espacios o comas. Los intervalos de puerto se deberán especificar como lower_port:higher_port usando dos puntos o un guión como separador (por ejemplo, 80,81,82:85 86-90). Valor predeterminado: 0 (desactivado) |
|
iface3_protocol |
Cadena |
Protocolo para permisos. Opciones: none (valor predeterminado), tcp o udp |
|
iface3_port |
Cadena |
Números de puerto o intervalos de puertos que se deben permitir. Acepta una cadena de valores separados por espacios o comas. Los intervalos de puerto se deberán especificar como lower_port:higher_port usando dos puntos o un guión como separador (por ejemplo, 80,81,82:85 86-90). Valor predeterminado: 0 (desactivado) |
|
iface4_protocol |
Entero |
Número de protocolo de IP que se va a permitir (por ejemplo, 6 para TCP, 47 para GRE). Véase http://www.iana.org/assignments/protocol. Valor predeterminado: 0 (desactivado) |
|
iface4_port |
Cadena |
Números de puerto o intervalos de puertos que se deben permitir. Acepta una cadena de valores separados por espacios o comas. Los intervalos de puerto se deberán especificar como lower_port:higher_port usando dos puntos o un guión como separador (por ejemplo, 80,81,82:85 86-90). Se utiliza solamente si el protocolo IP seleccionado tiene números de puerto (por ejemplo, udp y tcp); se deberá fijar a 0 para todos los demás protocolos. Si se establece esta propiedad como 0 para los protocolos tcp o udp, se permitirán todos los puertos. Valor predeterminado: 0 |
Notas:
Los mensajes siguientes pueden aparecer en el archivo de registro del dispositivo o en el registro del sistema del controlador de grid cuando el dispositivo falla al iniciarse:
El diagrama siguiente muestra un uso típico de IN para una aplicación de servidor Web sencilla:
Resumen de las partes
in1 acepta todas las solicitudes HTTO en la interfaz externa y las transfiere a web1 través del terminal out.
Ejemplo:
|
Nombre de la propiedad |
Valor |
Notas |
|
ip_addr |
192.168.1.1 |
Dirección IP de la interfaz externa |
|
netmask |
255.255.255.0 |
Máscara de red de la interfaz externa |
|
gateway |
192.168.1.254 |
Puerta de enlace de la interfaz externa |
|
iface1_protocol |
tcp |
Permite el tráfico TCP... |
|
iface1_port |
80 |
...sólo en el puerto 80 (http) |
En este ejemplo, la puerta de enlace está configurada para permitir los protocolos HTTP y HTTPS y el protocolo PPTP (utilizado por Microsoft Windows VPN).
Ejemplo:
|
Nombre de la propiedad |
Valor |
Notes |
|
ip_addr |
192.168.1.1 |
Dirección IP de la interfaz externa |
|
netmask |
255.255.255.0 |
Máscara de red de la interfaz externa |
|
gateway |
192.168.1.254 |
Puerta de enlace de la interfaz externa |
|
iface1_protocol |
tcp |
Permite el tráfico TCP... |
|
iface1_port |
80 |
... en el puerto 80 (http) |
|
iface2_protocol |
tcp |
Permite el tráfico TCP... |
|
iface2_port |
443 |
... en el puerto 443 (https) |
|
iface3_protocol |
tcp |
Permite el tráfico TCP para la conexión de control de PPTP... |
|
iface3_port |
1723 |
... en el puerto 1723 (VPN) |
|
iface4_protocol |
47 |
Permite el tráfico GRE para la encapsulación de PPTP |
|
iface4_port |
0 |
(no utilizado) |
En este ejemplo, observe el uso de iface4 para el protocolo GRE. Es correcto llenar iface4 aunque no se rellenen las interfaces con números más bajos.
Si un host está presente, de forma directa o como parte de una subred, tanto en la lista allowed_hosts de los hosts permitidos como en la lista denied_hosts de los hosts denegados, se denegará acceso. IN rechaza primero todos los hosts denegados y, a continuación, permite solamente aquellos que forman parte de los hosts permitidos (práctica de seguridad estándar).
La aplicación no utiliza IN para acceder a servicios externos. Las aplicaciones acceden a los servicios externos (tráfico saliente) a través de las puertas de enlace OUT y NET.
No se ha probado iface4_protocol con otros protocolos que no sean tcp y udp (debido a la falta de dispositivos que son compatibles con GRE u otros protocolos distintos de tcp/udp protocolo).
Software de código abierto y de terceros utilizado dentro del dispositivo
IN utiliza los siguientes paquetes de código abierto de terceros, además de los paquetes de código abierto de terceros que utiliza su clase base LUX6.
|
Software |
Versión |
Modificado |
Licencia |
Notas |
|
iptables |
1.4.7-5.1.el6_2 |
No |
GPLv2 |
Página principal |
|
Copyright © 2013 CA.
Todos los derechos reservados.
|
|