Informations de référence › Manuel de référence du catalogue d'appliance › Catalogue système › Passerelles › IN2 : Appliance de passerelle d'entrée

IN2 : Appliance de passerelle d'entrée

Dernière version : 1.0.0-1

Présentation fonctionnelle

IN2 est une passerelle d'entrée qui fournit un point d'entrée derrière un pare-feu pour le trafic réseau dans une application.

IN2 accepte tout le trafic entrant autorisé sur son interface externe et le transfère via son terminal out. IN2 ne transfère que le trafic explicitement autorisé dans la configuration de ses propriétés de pare-feu et rejette tout trafic non autorisé.

IN2 prend en charge jusqu'à quatre interfaces d'entrée (combinaisons de protocoles/paires), comme http et ssh. Par défaut, IN2 autorise uniquement le port TCP 80 (http).

IN2 est utilisé pour accepter l'ensemble du trafic réseau des applications. Tout le trafic externe doit passer par une passerelle IN2 pour accéder aux ressources ou services dans une application.

Périmètre

Ressources

Terminaux

Le terminal in est utilisé pour le trafic entrant. Ce terminal est configuré via l'onglet Interfaces de l'éditeur de configuration d'application.

L'interface par défaut est activée. Elle est utilisée pour la maintenance (connexions SSH entrantes).

Volumes d'utilisateur

Aucun

Propriétés

Configuration du pare-feu

Le groupe de propriétés suivant définit les paramètres de pare-feu pour la passerelle. Deux filtres peuvent être utilisés simultanément : par adresse IP source (allowed_hosts et denied_hosts) et par protocole/port (ifaceX). Vous pouvez configurer jusqu'à quatre paires de protocole/port (interfaces).

Si tous les paramètres gardent leurs valeurs par défaut, aucun trafic ne sera autorisé. Pour autoriser le trafic entrant, configurez au moins les valeurs iface1_protocol et iface1_port.

Remarques :

• Vous pouvez configurer le filtre iface4 pour autoriser d'autres protocoles entrants que tcp et udp.
• Vous pouvez configurer les quatre interfaces indépendamment. Les interfaces 1 et 2 ne sont pas nécessaires pour en avoir une troisième. En particulier, vous pouvez configurer iface4 sans avoir configuré iface3.
• Le numéro de port d'iface4 a un comportement légèrement différent des autres numéros de port. Si vous définissez iface4_port sur 0, le numéro de port ne sera pas vérifié. (Ceci est valable tant pour les protocoles qui n'ont pas de numéros de port, comme GRE, que pour tcp et udp). La définition d'iface{1,2,3}_port désactive l'interface (revient à définir le protocole sur none).

Messages d'erreur

Les messages suivants peuvent s'afficher dans le fichier journal de l'appliance ou dans le journal système du contrôleur de grille lorsque l'appliance ne parvient pas à démarrer :

• failed to start iptables
• Failed to set up rules (exit code code); using backup rule set
• Failed to set up backup rule set (exit code code)

Utilisation standard

Pare-feu d'entrée simple

Le diagramme suivant affiche une utilisation standard de IN2 pour une application de serveur Web simple :

Récapitulatif des parties

• in2 - Passerelle d'entrée
• web1 - Appliance de serveur Web

in2 accepte les demandes HTTP sur son terminal in et les transfère à web1 via son terminal out.

Exemple :

Une adresse IP valide doit être configurée pour le terminal in à partir du pool d'adresses IP disponibles fournies par le contrôleur de grille. Le masque réseau et la passerelle du terminal in sont obtenus automatiquement à partir du contrôleur de grille.

Pare-feu avancé

Dans cet exemple, la passerelle est configurée pour autoriser les protocoles HTTP et HTTPS, ainsi que PPTP (utilisé par Microsoft Windows VPN).

Exemple :

Une adresse IP valide doit être configurée pour le terminal in à partir du pool d'adresses IP disponibles fournies par le contrôleur de grille. Le masque réseau et la passerelle du terminal in sont obtenus automatiquement à partir du contrôleur de grille.

Dans cet exemple, notez l'utilisation d'iface4 pour le protocole GRE. Vous pouvez compléter iface4 même si les numéros d'interfaces antérieurs ne sont pas complétés.

Notes

• Si un hôte figure, directement ou en tant que partie d'un sous-réseau, à la fois dans les listes allowed_hosts et denied_hosts, l'accès lui est refusé. IN2 rejette d'abord tous les hôtes refusés, puis autorise uniquement ceux figurant dans la liste des hôtes autorisés (pratique de sécurité standard).
• IN2 n'est pas utilisé pour accéder aux services externes par l'application. Les applications accèdent aux services externes (trafic sortant) via les passerelles OUT2 et NET2.
• iface4_protocol n'a pas été testé avec d'autres protocoles que tcp et udp (en raison du manque d'appliances prenant en charge le protocole GRE ou des protocoles autres que TCP ou UDP).

Logiciels Open Source et tiers utilisés au sein de l'appliance

IN2 utilise les packages Open Source tiers suivants en plus des packages Open Source tiers utilisés par sa classe de base LUX6.