IN2: appliance del gateway di input

Informazioni di riferimento › Guida di riferimento al catalogo delle appliance › Catalogo di sistema › Gateway › IN2: appliance del gateway di input

IN2: appliance del gateway di input

Ultima versione: 1.0.0-1


In breve
Catalogo	Sistema
Categoria	Gateway
Volumi dell'utente	sì
Num. minimo memoria	192 MB
OS	Linux
Vincoli	no
Domande/commenti	Fare richieste al forum

Panoramica funzionale

IN2 è un gateway di input che fornisce un punto di entrata con firewall per il traffico di rete in un'applicazione.

IN2 accetta tutto il traffico in entrata consentito sulla sua interfaccia esterna e lo trasmette al terminale OUT. IN2 inoltra soltanto il traffico esplicitamente consentito attraverso la configurazione delle proprietà del firewall. IN2 elimina tutto il traffico non autorizzato.

IN2 supporta fino a quattro interfacce in entrata (combinazioni di protocollo/coppia), come http e ssh. Per impostazione predefinita, IN2 consente solo la porta 80 del TCP (http).

IN2 è usato per accettare tutto il traffico di rete delle applicazioni. Il traffico esterno deve passare attraverso un gateway IN2 per accedere alle risorse o ai servizi in un'applicazione.

Limite

Risorse

Risorsa	Minimo	Massimo	Predefinito
CPU	0.05	4	0.05
Memoria	96 MB	2 GB	96 MB
Larghezza di banda	1 Mbps	2 Gbps	200 Mbps

Terminali

Name	Direzione	Protocollo	Description
in	in	Qualsiasi	Riceve tutto il traffico in entrata per gli indirizzi IP assegnati
out	out	Qualsiasi	Invia tutto il traffico fuori dall'indirizzo di destinazione e riceve le risposte
mon	out	CCE	Invia le statistiche sull'utilizzo delle risorse e le prestazioni.

Il terminale di ingresso è utilizzato per il traffico in entrata. Questo terminale viene configurato mediante la scheda Interfacce dell'editor di Configurazione applicazione.

L'interfaccia predefinita è abilitata. Serve per la manutenzione (connessioni ssh in entrata).

Volumi di utente

Nessuno

Proprietà

Configurazione di firewall

Il seguente gruppo di proprietà definisce le impostazioni del firewall per il gateway. Ci sono due filtri che è possibile usare insieme: per indirizzo IP sorgente (allowed_hosts e denied_hosts) e per protocollo/porta (ifaceX). Si possono configurare fino a quattro coppie di protocollo/porta (interfacce).

Se tutti i parametri sono lasciati all'impostazione predefinita, non verrà autorizzato alcun traffico. Per autorizzare il traffico in entrata, configurare almeno i valori di iface1_protocol e iface1_port.

Name	Tipo	Description
allowed_hosts	Stringa	Elenco di host e/o subnet che possono connettersi. Separare le voci usando spazi o virgole. Esempio di formato supportato: 192.168.1.2 192.168.1.0/24 192.168.2.0/255.255.255.0. Predefinito: 0.0.0.0/0 (tutto permesso)
denied_hosts	Stringa	Elenco di host e/o subnet cui rifiutare la connessione. Il formato è lo stesso di allowed_hosts. Predefinito: (vuoto) (nessuno respinto)
iface1_protocol	Stringa	Protocollo da permettere. Opzioni: nessuno, tcp (predefinito), udp
iface1_port	Stringa	Numeri di porta o intervalli di porta da consentire. Accetta una stringa di valori separati da spazio o virgola. È necessario specificare gli intervalli di porta come lower_port:higher_port con due punti o un trattino (ad esempio, 80,81,82:85 86-90). Predefinito: 80 (HTTP)
iface2_protocol	Stringa	Protocollo da permettere. Opzioni: nessuno (predefinito), Tcp, Udp
iface2_port	Stringa	Numeri di porta o intervalli di porta da consentire. Accetta una stringa di valori separati da spazio o virgola. È necessario specificare gli intervalli di porta come lower_port:higher_port con due punti o un trattino (ad esempio, 80,81,82:85 86-90). Predefinito: 0 (disabilitato)
iface3_protocol	Stringa	Protocollo da permettere. Opzioni: nessuno (predefinito), tcp, udp
iface3_port	Stringa	Numeri di porta o intervalli di porta da consentire. Accetta una stringa di valori separati da spazio o virgola. È necessario specificare gli intervalli di porta come lower_port:higher_port con due punti o un trattino (ad esempio, 80,81,82:85 86-90). Predefinito: 0 (disabilitato)
iface4_protocol	Numero intero	Numero di protocollo IP da autorizzare (ad esempio, 6 per TCP, 47 per GRE). Predefinito: 0 (disabilitato)
iface4_port	Stringa	Numeri di porta o intervalli di porta da consentire. Accetta una stringa di valori separati da spazio o virgola. È necessario specificare gli intervalli di porta come lower_port:higher_port con due punti o un trattino (ad esempio, 80,81,82:85 86-90). Usato soltanto se il protocollo IP selezionato presenta numeri di porta (ad esempio, udp e tcp); deve essere impostato su 0 per tutti gli altri protocolli. Impostare questa proprietà su 0 per i protocolli tcp o udp per autorizzare tutte le porte. Valore predefinito: 0

Note:

Il filtro di iface4 può essere configurato per consentire i protocolli in entrata diversi da tcp e udp.
È possibile configurare tutte e quattro le interfacce in maniera indipendente; non è obbligatorio avere l'interfaccia 1 e 2 per avere la 3. In particolare, è possibile configurare iface4 anche se non c'é un iface3.
Il numero di porta per iface4 ha un comportamento leggermente diverso dagli altri numeri di porta. Se si imposta iface4_port su 0, il numero di porta non verrà controllato (funziona sia sui protocolli che non hanno numeri di porta, come GRE, sia su tcp e udp). Impostare iface{1,2,3}_port disabilita l'interfaccia (pari a impostare il protocollo su nessuno).

Messaggi di errore

I seguenti messaggi possono apparire nei file di log e nel log di sistema del controller di griglia quando l'appliance non riesce ad avviarsi:

impossibile avviare gli iptables
Impossibile impostare le regole (codice di uscita code); tramite il set di regole di backup
Impossibile impostare il set di regole di backup (codice di uscita code)

Uso tipico

Firewall di input semplice

Il seguente diagramma mostra un uso tipico di IN2 per un'applicazione di server Web semplice:

Riepilogo di parti

in2 - gateway di input
web1 - appliance del server Web

in2 accetta le richieste HTTP sul terminale di ingresso o le trasmette a web1 attraverso il terminale di uscita.

Esempio:

Un indirizzo IP valido deve essere configurato per il terminale di ingresso dal pool di indirizzi IP disponibili fornito dal controller di griglia. La maschera di rete e il gateway per il terminale di ingresso vengono selezionati automaticamente dal controller di griglia.

Nome della proprietà	Valore	note
iface1_protocol	tcp	Permettere il traffico del TCP...
iface1_port	80	.. soltanto sulla porta 80 (http)

Firewall avanzato

In questo esempio, il gateway è configurato per autorizzare i protocolli HTTP e HTTPS e il protocollo PPTP (utilizzato da MS Windows VPN).

Esempio:

Nome di proprietà	Valore	note
iface1_protocol	tcp	Permettere il traffico del TCP...
iface1_port	80	... su porta 80 (HTTP)
iface2_protocol	tcp	Permettere il traffico del TCP...
iface2_port	443	... su porta 443 (HTTPS)
iface3_protocol	tcp	Autorizza il traffico del TCP per la connessione di controllo di PPTP...
iface3_port	1723	... su porta 1723 (VPN)
iface4_protocol	47	Autorizza il traffico del GRE per l'incapsulamento PPTP..
iface4_port	0	(non utilizzato)

In questo esempio, l'uso di iface4 per il protocollo di GRE. iface4 può essere completato anche se le interfacce a numero ridotto non sono completate.

note

Se è presente un host, direttamente o come parte di una subnet, tanto negli elenchi allowed_hosts che negli elenchi denied_hosts, l'accesso verrà negato. IN2 respinge tutti gli host negati e quindi autorizza soltanto quelli negli host consentiti (pratica di protezione standard).
IN2 non è usato per accedere ai servizi esterni dall'applicazione. Le applicazioni accedono ai servizi esterni (traffico in uscita) attraverso i gateway OUT2 e NET2.
iface4_protocol non è stato testato con protocolli diversi da TCP e UDP (per la mancanza di appliance che supportano GRE o altro protocollo non-tcp/udp).

Questa appliance usa software Open Source e di terze parti

IN2 usa i seguenti pacchetti Open Source di terze parti oltre ai pacchetti Open Source di terze parti usati dalla loro classe di base LUX6.

Software	Versione	Modificato	License	note
iptables	1.4.7-5.1.el6_2	No	GPLv2	pagina iniziale