Información de referencia › Guía de referencia del catálogo de dispositivos › Catálogo del sistema › Puertas de enlace › NET2: dispositivo de puerta de enlace de salida de subred

NET2: dispositivo de puerta de enlace de salida de subred

Última versión: 1.0.0-1

Descripción general del funcionamiento

NET2 es una puerta de enlace de salida que proporciona acceso saliente a una red situada fuera de una aplicación. NET2 acepta tráfico de la aplicación en su terminal in y lo envía mediante el terminal out a la red externa (por ejemplo, Internet).

NET2 tiene un cortafuegos que permite solamente tráfico saliente (conexiones y datagramas). Elimina el tráfico entrante que no sea de una conexión ya establecida o que no esté relacionado con una solicitud de datagramas. Se puede configurar NET2 para limitar aún más el conjunto de direcciones IP a las que se puede acceder a través de ella.

NET2 sirve como puerta de enlace de red predeterminada y servidor DNS para los dispositivos a su terminal in.

Nota: Solamente se deberían conectar los terminales de salida de puerta de enlace al terminal in de NET2.

NET2 se utiliza para acceder a los servicios externos de una aplicación cuyos nombres de host se determinan en tiempo de ejecución (por ejemplo, las direcciones de servidor de correo que se obtienen de los registros de MX DNS o los bots de motores de búsqueda que tienen que atravesar la Web).

Límite

Recursos

Terminales

El terminal out se utiliza para el tráfico de salida. Este terminal se configura mediante la ficha Interfaces del editor de configuración de la aplicación.

La interfaz predeterminada está activada. Se utiliza para el mantenimiento (conexiones SSH entrantes).

Volúmenes de usuario

Ninguno

Propiedades

Mensajes de error

Los mensajes siguientes pueden aparecer en el archivo de registro del dispositivo o en el registro del sistema del controlador de grid cuando el dispositivo falla al iniciarse:

• iptables failed to start
• named service failed to start
• Failed to set up rules (exit code code); using backup rule set
• Failed to set up backup rule set (exit code code)

Uso típico

El siguiente diagrama muestra un uso típico de NET2 para una aplicación de servidor de correo sencilla que accede a Internet para reenviar correos mediante NET2:

Resumen de las partes

• in2: dispositivo de puerta de enlace de entrada, clase IN2.
• mailman: dispositivo de servidor SMTP, clase MTA.
• net2: dispositivo de puerta de enlace de salida, clase NET2.

in2 transfiere las conexiones entrantes al servidor mailman. mailman atiende la solicitud de correo y envía el correo saliente por la puerta de enlace net2. El correo se envía en dos pasos para cada mensaje: primero, enviando una solicitud de DNS al servidor de correo de destino y luego enviando el mensaje a ese servidor. La puerta de enlace de net2 reenvía la solicitud de DNS del servidor mailman al servidor DNS especificado y realiza la conexión al servidor de correo de destino.

En las siguientes secciones, se describe la configuración de NET2 en varios casos de uso típicos:

Acceso sin restricción a dominios estándar

En este modo, NET2 se configura de una manera muy similar a una puerta de enlace de red normal (por ejemplo, para conectar una LAN a Internet mediante ISP).

Ejemplo:

Debe configurarse una dirección IP válida para el terminal out desde la agrupación de direcciones IP disponibles que proporcione el controlador del grid. La máscara de red y la puerta de enlace del terminal out se obtendrán automáticamente del controlador del grid.

Nota: Muchas compañías tienen dominios internos que se pueden resolver solamente a través de sus servidores DNS privados (por ejemplo, .local o .localdomain). Para utilizar dichos dominios, configure las propiedades dns1 y dns2 para apuntar a esos servidores DNS privados. Consulte también las posibles restricciones de host que se muestran a continuación.

Acceso sin restricción a dominios estándar mediante servidores DNS raíz

En este modo, NET2 no necesita servidores DNS específicos y usa un conjunto de servidores de raíz de Internet preconfigurados.

Ejemplo:

Debe configurarse una dirección IP válida para el terminal out desde la agrupación de direcciones IP disponibles que proporcione el controlador del grid. La máscara de red y la puerta de enlace del terminal out se obtendrán automáticamente del controlador del grid.

En este modo, NET2 necesita acceso a los servidores DNS de raíz (de lo contrario NET2 hará que todas las consultas de DNS sean erróneas).

Acceso sin restricción a dominios estándar mediante servidores DNS raíz

En este modo, NET2 no necesita servidores DNS específicos y utiliza un conjunto de servidores de raíz de Internet preconfigurados.

Ejemplo:

Debe configurarse una dirección IP válida para el terminal out desde la agrupación de direcciones IP disponibles que proporcione el controlador del grid. La máscara de red y la puerta de enlace del terminal out se obtendrán automáticamente del controlador del grid.

Importante: En este modo, NET2 necesita acceso a los servidores DNS de raíz (de lo contrario NET2 hará que todas las consultas de DNS sean erróneas).

Acceso restringido a dominios privados

En este modo, NET2 está limitado para acceder solamente a las redes especificadas, permitiendo y denegando los hosts y subredes específicos.

Ejemplo:

Debe configurarse una dirección IP válida para el terminal out desde la agrupación de direcciones IP disponibles que proporcione el controlador del grid. La máscara de red y la puerta de enlace del terminal out se obtendrán automáticamente del controlador del grid.

Nota: En este modo, los servidores DNS deben estar dentro del conjunto de los hosts permitidos.

Notas

En general, el único tipo de terminal de salida que se debe conectar al terminal in de NET2 es una salida de puerta de enlace. Estas salidas son diferentes de las salidas normales, pues actúan como puertas de enlace predeterminadas para sus dispositivos y permiten conexiones a varios host (en contraposición al acceso de un único host que ofrecen las salidas normales). Las salidas de puertas de enlace se muestran con un cuadro azul en la ilustración del terminal, mientras que las salidas normales se muestran con flechas rojas (vea el ejemplo de uso anterior).

Para obtener más información sobre los tipos de terminales de salida, consulte la Guía de referencia del lenguaje ADL.

• Si se conecta una salida regular a la puerta de enlace NET2 sólo se proporcionará resoluciones de DNS. Esto es un uso válido de la puerta de enlace NET2 (básicamente como un servicio de resolución de DNS).
• Si un host está presente, de forma directa o como parte de una subred, tanto en la lista allowed_hosts de los hosts permitidos como en la lista denied_hosts de los hosts denegados, NET2 denegará el acceso a dichos host. NET2 rechaza primero todos los hosts denegados y, a continuación, permite solamente aquellos que forman parte de los hosts permitidos (práctica de seguridad estándar).
• Si su aplicación no necesita acceso a una red completa pero sí a un host concreto (por ejemplo, ftp.CA.com), es mejor utilizar el dispositivo de puerta de enlace OUT2.
• NET2 no se utiliza para proporcionar solicitudes entrantes a una aplicación. La solicitud entrante se puede gestionar mediante el dispositivo de puerta de enlace IN2.

Software de fuente abierta y de terceros utilizado dentro del dispositivo

NET2 utiliza los siguientes paquetes de código abierto de terceros, además de los paquetes de código abierto de terceros que utiliza su clase base LUX6.