Informations de référence › Manuel de référence du catalogue d'appliance › Catalogue système › Passerelles › Net2 : appliance de la passerelle de sortie du sous-réseau

Net2 : appliance de la passerelle de sortie du sous-réseau

Dernière version : 1.0.0-1

Présentation fonctionnelle

NET2 est une passerelle de sortie qui fournit un accès à la sortie vers un réseau situé à l'extérieur d'une application. NET2 accepte le trafic de l'application sur son terminal in et le transfère au réseau externe (par exemple, Internet) via son terminal out.

NET2 dispose d'un pare-feu qui autorise uniquement le trafic sortant (connexions et datagrammes). Il n'achemine pas le trafic entrant qui n'est pas destiné à une connexion déjà établie ou relatif à une demande de datagramme. NET2 peut être configuré pour limiter davantage l'ensemble d'adresses IP autorisées à y accéder.

NET2 fait office de passerelle réseau par défaut et de serveur DNS pour les appliances connectées à son terminal in.

Remarque : Seuls les terminaux de sortie de la passerelle doivent être reliés au terminal in de NET2.

NET2 permet d'accéder à des services en dehors d'une application dont les noms d'hôte sont déterminés au moment de l'exécution (par exemple, des adresses de serveur de messagerie obtenues à partir d'enregistrements DNS MX ou de robots de moteur de recherche devant parcourir Internet).

Périmètre

Ressources

Terminaux

Le terminal out est utilisé pour le trafic sortant. Ce terminal est configuré via l'onglet Interfaces de l'éditeur de configuration d'application.

L'interface par défaut est activée. Elle est utilisée pour la maintenance (connexions SSH entrantes).

Volumes d'utilisateur

Aucun

Propriétés

Messages d'erreur

Les messages suivants peuvent s'afficher dans le fichier journal de l'appliance ou dans le journal système du contrôleur de grille lorsque l'appliance ne parvient pas à démarrer :

• iptables failed to start
• named service failed to start
• Failed to set up rules (exit code code); using backup rule set
• Failed to set up backup rule set (exit code code)

Utilisation standard

Le diagramme suivant affiche une utilisation standard de NET2 pour une application de serveur de messagerie simple qui accède à Internet pour transférer du courrier à l'aide de NET2.

Récapitulatif des parties

• in2 : appliance de passerelle d'entrée, classe IN2
• mailman : appliance de serveur SMTP, classe MTA
• net2 : appliance de passerelle de sortie, classe NET2

in2 transfère les connexions entrantes au serveur Mailman. Mailman traite la demande de messagerie et envoie le courrier sortant via la passerelle NET2. Pour chaque message, le courrier est envoyé en deux étapes : d'abord, l'envoi d'une requête DNS au serveur de messagerie cible, puis l'envoi du message à ce serveur. La passerelle NET2 envoie la demande DNS du serveur Mailman au serveur DNS spécifié et établit la connexion avec le serveur de messagerie cible.

Les sections suivantes décrivent la configuration de NET2 dans plusieurs cas d'utilisation standard.

Accès illimité aux domaines standard

Dans ce mode, NET2 est configuré d'une façon très similaire à une passerelle réseau standard (par exemple, pour la connexion d'un réseau LAN à Internet via ISP).

Exemple :

Une adresse IP valide doit être configurée pour le terminal out à partir du pool d'adresses IP disponibles fournies par le contrôleur de grille. Le masque réseau et la passerelle du terminal out sont obtenus automatiquement à partir du contrôleur de grille.

Remarque : Beaucoup de sociétés ont des domaines internes qui ne peuvent être résolus que via leurs serveurs DNS privés (par exemple, .local ou .localdomain). Pour utiliser ces domaines, configurez les propriétés dns1 et dns2 afin de les faire pointer vers ces serveurs DNS privés. Reportez-vous également à la fonctionnalité de restrictions d'hôtes ci-dessous.

Accès illimité aux domaines standard à l'aide de serveurs DNS racines

Dans ce mode, NET2 ne nécessite aucun serveur DNS spécifique et utilise un ensemble de serveurs racines Internet préconfigurés.

Exemple :

Une adresse IP valide doit être configurée pour le terminal out à partir du pool d'adresses IP disponibles fournies par le contrôleur de grille. Le masque réseau et la passerelle du terminal out sont obtenus automatiquement à partir du contrôleur de grille.

Dans ce mode, NET2 doit accéder aux serveurs DNS racines (faute de quoi il fait échouer toutes les requêtes DNS).

Accès illimité aux domaines standard à l'aide de serveurs DNS racines

Dans ce mode, NET2 ne nécessite aucun serveur DNS spécifique et utilise un ensemble de serveurs racines Internet préconfigurés.

Exemple :

Une adresse IP valide doit être configurée pour le terminal out à partir du pool d'adresses IP disponibles fournies par le contrôleur de grille. Le masque réseau et la passerelle du terminal out sont obtenus automatiquement à partir du contrôleur de grille.

Important : Dans ce mode, NET2 doit accéder aux serveurs DNS racines (faute de quoi il fait échouer toutes les requêtes DNS).

Accès restreint aux domaines privés

Dans ce mode, NET2 est limité à l'accès de certains réseaux, en autorisant et en refusant certains hôtes et sous-réseaux.

Exemple :

Une adresse IP valide doit être configurée pour le terminal out à partir du pool d'adresses IP disponibles fournies par le contrôleur de grille. Le masque réseau et la passerelle du terminal out sont obtenus automatiquement à partir du contrôleur de grille.

Remarque : Dans ce mode, les serveurs DNS doivent figurer dans l'ensemble des hôtes autorisés.

Notes

En général, le seul type de terminal de sortie qui doit être connecté au terminal in de NET2 est une sortie de passerelle. Ces sorties diffèrent des sorties standard en agissant comme des passerelles par défaut pour leurs appliances, en permettant des connexions à plusieurs hôtes (par opposition à l'accès hôte unique fourni par les sorties standard). Les sorties de passerelle sont représentées par un carré bleu dans la forme du terminal, tandis que les sorties standard sont représentées par des flèches rouges. Reportez-vous à l'exemple d'utilisation ci-dessus.

Pour plus d'informations sur les types de terminal de sortie, reportez-vous au Manuel de référence du langage ADL.

• La connexion d'une sortie standard à la passerelle NET2 fournit uniquement des résolutions DNS. Il s'agit d'une utilisation valide de la passerelle NET2 (essentiellement en tant que service de résolution DNS).
• Si un hôte figure, directement ou en tant que partie d'un sous-réseau, à la fois dans les listes allowed_hosts et denied_hosts, NET2 lui refuse l'accès. NET2 rejette d'abord tous les hôtes refusés, puis autorise uniquement ceux figurant dans la liste des hôtes autorisés (pratique de sécurité standard).
• Si votre application ne doit pas accéder à un réseau entier mais à un hôte particulier (par exemple, ftp.CA.com), il est recommandé d'utiliser l'appliance de passerelle OUT2.
• NET2 n'est pas utilisé pour fournir des requêtes entrantes à une application. La demande entrante peut être gérée à l'aide de l'appliance de passerelle IN2.

Logiciels tiers et Open Source et utilisés au sein de l'appliance

NET2 utilise les packages tiers libres suivants en plus des packages tiers libres utilisés par la classe de base LUX6.