Información de referencia › Guía de referencia del catálogo de dispositivos › Catálogo del sistema › Puertas de enlace › IN2: dispositivo de puerta de enlace de entrada

IN2: dispositivo de puerta de enlace de entrada

Última versión: 1.0.0-1

Descripción general del funcionamiento

IN2 es una puerta de enlace de entrada que proporciona un punto de entrada de cortafuegos para el tráfico de red en una aplicación.

IN2 acepta todo el tráfico de entrada permitido en la interfaz externa y lo transfiere a través del terminal out. IN2 envía solamente el tráfico permitido explícitamente mediante la configuración de las propiedades del cortafuegos. IN2 prescinde de todo el tráfico descartado.

IN2 es compatible con hasta cuatro interfaces de entrada (combinaciones de protocolo/par), como http y ssh. De forma predeterminada, IN2 permite solamente el puerto de TCP 80 (http).

Se utiliza IN2 para aceptar todo el tráfico de red para las aplicaciones. Todo el tráfico externo debe pasar por una puerta de enlace de IN2 para acceder a los recursos o servicios de una aplicación.

Límite

Recursos

Terminales

El terminal in se utiliza para el tráfico de entrada. Este terminal se configura mediante la ficha Interfaces del editor de configuración de la aplicación.

La interfaz predeterminada está activada. Se utiliza para el mantenimiento (conexiones SSH entrantes).

Volúmenes de usuario

Ninguno

Propiedades

Configuración de cortafuegos

El siguiente grupo de propiedad define los valores de configuración de cortafuegos básicos para la puerta de enlace. Hay dos filtros que se pueden utilizar juntos: por la dirección IP fuente (allowed_hosts y denied_hosts) y por el protocolo/puerto (ifaceX). Se pueden configurar hasta cuatro parejas de protocolo/puerto (interfaces).

Si todos los parámetros se dejan con los valores predeterminados, no se permitirá nada de tráfico. Para permitir la entrada de tráfico, configure al menos los valores de iface1_protocol e iface1_port.

Notas:

• El filtro de iface4 se puede configurar para permitir protocolos entrantes que no sean ni tcp ni udp.
• Las cuatro interfaces se pueden configurar independientemente; no hay ningún requisito para que la interfaz 1 y 2 tengan 3. Se puede configurar iface4 aunque no haya iface3.
• El número de puerto para iface4 tiene un comportamiento un poco diferente de los demás números de puerto. Si se establece iface4_port como 0 quiere decir que el número de puerto no se va a comprobar (funciona tanto para los protocolos que no tienen números de puerto, por ejemplo GRE, como para tcp y udp). Si se establece iface{1,2,3}_port, se desactiva la interfaz (lo que es igual que establecer el protocolo como "none").

Mensajes de error

Los mensajes siguientes pueden aparecer en el archivo de registro del dispositivo o en el registro del sistema del controlador de grid cuando el dispositivo falla al iniciarse:

• failed to start iptables
• Failed to set up rules (exit code code); using backup rule set
• Failed to set up backup rule set (exit code code)

Uso típico

Cortafuegos de entrada sencilla

El diagrama siguiente muestra un uso típico de IN2 para una aplicación de servidor Web sencilla:

Resumen de las partes

• in2: puerta de enlace de entrada
• web1: dispositivo de servidor Web.

in2 acepta todas las solicitudes HTTP en el terminal y las transfiere a web1 mediante el terminal out.

Ejemplo:

Debe configurarse una dirección IP válida para el terminal in desde la agrupación de direcciones IP disponibles que proporcione el controlador del grid. La máscara de red y la puerta de enlace del terminal in se obtendrán automáticamente del controlador del grid.

Cortafuegos avanzado

En este ejemplo, la puerta de enlace está configurada para permitir los protocolos HTTP y HTTPS, así como el protocolo PPTP (utilizado por Microsoft Windows VPN).

Ejemplo:

Debe configurarse una dirección IP válida para el terminal in desde la agrupación de direcciones IP disponibles que proporcione el controlador del grid. La máscara de red y la puerta de enlace del terminal in se obtendrán automáticamente del controlador del grid.

En este ejemplo, observe el uso de iface4 para el protocolo GRE. Es correcto llenar iface4 aunque no se rellenen las interfaces con números más bajos.

Notas

• Si un host está presente, de forma directa o como parte de una subred, tanto en la lista allowed_hosts de los hosts permitidos como en la lista denied_hosts de los hosts denegados, se denegará acceso. IN2 rechaza primero todos los hosts denegados y, a continuación, permite solamente aquellos que forman parte de los hosts permitidos (práctica de seguridad estándar).
• La aplicación no utiliza IN2 para acceder a servicios externos. Las aplicaciones acceden a los servicios externos (tráfico saliente) a través de las puertas de enlace OUT2 y NET2.
• No se ha probado iface4_protocol con otros protocolos que no sean tcp y udp (debido a la falta de dispositivos que son compatibles con GRE u otros protocolos distintos de tcp/udp protocolo).

Software de código abierto y de terceros utilizado dentro del dispositivo

IN2 utiliza los siguientes paquetes de código abierto de terceros, además de los paquetes de código abierto de terceros que utiliza su clase base LUX6.