参照情報 › アプライアンス カタログ リファレンス ガイド › システム カタログ › ゲートウェイ › IN2： 入力ゲートウェイ アプライアンス

IN2： 入力ゲートウェイ アプライアンス

最新バージョン： 1.0.0-1

機能の概要

IN2 は、アプリケーションにネットワーク トラフィックを転送するためのファイアウォール保護エントリ ポイントを提供する入力ゲートウェイです。

IN2 は、許可されたすべての受信トラフィックをその外部インターフェースで受け入れ、その出力端子を通じて渡します。 IN2 は、ファイアウォール プロパティの設定によって明示的に許可されたトラフィックのみを転送します。 IN2 は、許可されなかったトラフィックをすべて破棄します。

IN2 は、http や ssh など、最大 4 つの受信インターフェース（プロトコル/ペアの組み合わせ）をサポートします。 デフォルトでは、IN2 が許可するのは TCP ポート 80（http）だけです。

IN2 は、アプリケーション用のすべてのネットワーク トラフィックを受け入れるために使用されます。 外部トラフィックはすべて IN2 ゲートウェイを通し、アプリケーション内の任意のリソースまたはサービスにアクセスできるようにします。

境界

リソース

端子

in 端子は受信トラフィックに使用されます。 この端子は、アプリケーション設定エディタの［インターフェース］タブで設定します。

デフォルト インターフェースは有効です。 これはメンテナンスに使用されます（受信 SSH 接続）。

ユーザ ボリューム

なし

プロパティ

ファイアウォール設定

以下のプロパティ グループは、ゲートウェイのファイアウォール設定を定義します。 一緒に使用できるフィルタが 2 つあります。1 つはソース IP アドレス（allowed_hosts と denied_hosts）、もう 1 つはプロトコル/ポート（ifaceX）によって使用されます。 プロトコル/ポートのペア（インターフェース）は、4 つまで設定できます。

すべてのパラメータがデフォルトのままである場合、トラフィックは許可されません。 トラフィックの受信を許可するには、少なくとも iface1_protocol と iface1_port の値を設定します。

注：

• iface4 フィルタは、tcp や udp 以外の受信プロトコルを許可するように設定できます。
• 4 つのインターフェースはすべて独立して設定できます。インターフェース 3 を設定するために、インターフェース 1 や 2 を設定する必要はありません。 特に、iface3 が設定されていなくても、iface4 は設定できます。
• iface4 のポート番号は、他のポート番号とは若干異なる動作をします。 iface4_port を 0 に設定することは、このポート番号が確認されないことを意味します（GRE のように、単にポート番号を持っていないプロトコルと、tcp および udp では機能します）。 iface{1,2,3}_port の設定は、インターフェースを無効にします（プロトコルを none に設定することに相当します）。

エラー メッセージ

アプライアンスが開始に失敗すると、以下のメッセージが、アプライアンスのログ ファイルまたはグリッド コントローラのシステム ログのいずれかに表示される場合があります。

• iptables が起動に失敗しました
• ルールの設定に失敗しました（終了コード code）。バックアップ ルール セットを使用
• バックアップ ルール セットの設定に失敗しました（終了コード code）

典型的な使用状況

シンプル入力ファイアウォール

以下の図は、単純な Web サーバ アプリケーション用の IN2 の標準的な使い方を示しています。

各部の概要

• in2 - 入力ゲートウェイ
• web1 - Web サーバ アプライアンス

in2 は、in 端子上で HTTP リクエストを受け付け、out 端子から web1 に転送します。

例：

in 端子には、グリッド コントローラから提供される使用可能な IP アドレスのプールから、有効な IP アドレスを設定する必要があります。 in 端子用のネットマスクとゲートウェイは、グリッド コントローラから自動的に取得されます。

高度なファイアウォール

この例では、HTTP と HTTPS プロトコル、および PPTP プロトコル（Microsoft Windows VPN で使用）が許可されるようにゲートウェイを設定しています。

例：

in 端子には、グリッド コントローラから提供される使用可能な IP アドレスのプールから、有効な IP アドレスを設定する必要があります。 in 端子用のネットマスクとゲートウェイは、グリッド コントローラから自動的に取得されます。

この例では、GRE プロトコル用の iface4 の使用に注意します。 より番号の小さいインターフェースが書き込まれていなくても、iface4 に書き込むことはかまいません。

メモ

• ホストが直接またはサブネットの一部として、allowed_hosts リストと denied_hosts リストの両方に存在する場合、アクセスを拒否されます。 IN2 はまず拒否されたホストをすべて拒否し、次に、許可されたホスト内のホストのみを許可します（標準のセキュリティ プラクティス）。
• IN2 はアプリケーションによって外部サービス アクセス用に使用されません。 アプリケーションは OUT2 および NET2 ゲートウェイを介して外部サービス（送信トラフィック）にアクセスします。
• iface4_protocol は、tcp および udp 以外のプロトコルでテストされていません（GRE または他の非 tcp/udp プロトコルをサポートするアプライアンスがないため）。

アプライアンス内で使用されるオープン ソース/サードパーティ ソフトウェア

IN2 は、ベース クラス LUX6 で使用されるサードパーティのオープン ソース パッケージに加えて、以下のサードパーティのオープン ソース パッケージを使用します。