User Tools

Site Tools


cluster:asegurar_firewall

Asegurar el cluster: configurar el firewall

Control de versiones

Fecha Actividad Autor
24/07/2010 Publicación inicial Jorge Iván Meza Martínez.
07/06/2011 Actualización de las reglas Jorge Iván Meza Martínez.

Introducción

En este capítulo se realiza la configuración necesaria para proteger a los diferentes nodos del cluster mediante su firewall o cortafuegos, permitiendo definir que servicios son realmente expuestos al exterior.

Tiempo estimado

40 minutos.

Precondición

  • El cluster se encuentra completo y en operación.

Supuestos

  • Los nodos no cumplen otra función o proveen servicios diferentes a los relacionados con el cluster. En caso de hacerlo será necesario que se adapten las políticas del firewall para no interferir con ellos.

Asegurar el nodo principal

El nodo principal (c-head) cumple en este caso las funciones de cabeza del cluster (head node), envío de trabajos (interactive) y servidor de archivos (NFS). De acuerdo a esto se realizan los siguientes ajustes.

Configurar el servicio de NFS

Algunos de los componentes que hacen parte del servcio NFS utilizan por defecto puertos al azar, lo que dificulta su control y filtrado por los firewall. Por este motivo se establecen los siguientes puertos como valores constantes.

# vi /etc/sysconfig/nfs
 
    # TCP port rpc.lockd should listen on.
    LOCKD_TCPPORT=32803
    # UDP port rpc.lockd should listen on.
    LOCKD_UDPPORT=32769
    # Port rpc.mountd should listen on.
    MOUNTD_PORT=892
    # Port rpc.statd should listen on.
    STATD_PORT=662

Configurar iptables

El nodo principal deberá permitir el acceso a SSH, NFS (varias aplicaciones) y Condor. Para hacer esto se realizan los siguientes ajustes a la configuración de iptables.

# vi /etc/sysconfig/iptables
iptables
# Firewall configuration written by system-config-securitylevel
# Manual customization of this file is not recommended.
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -p icmp --icmp-type any -j ACCEPT
### Service rules ###
## Internet Protocol Security (IPsec)
-A INPUT -p 50 -j ACCEPT
-A INPUT -p 51 -j ACCEPT
## Multicast DNS
-A INPUT -p udp --dport 5353 -d 224.0.0.251 -j ACCEPT
## Internet Printing Protocol
# -A INPUT -p udp -m udp --dport 631 -j ACCEPT
# -A INPUT -p tcp -m tcp --dport 631 -j ACCEPT
## Paquetes que no son parte de una conexión pero pertenecen a otra conexión relacionada
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
## SSH para administración remota
-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
## NFS
# portmap/sunrpc
-A INPUT -m state --state NEW -m tcp -p tcp --dport 111 -j ACCEPT
-A INPUT -m state --state NEW -m udp -p udp --dport 111 -j ACCEPT
# statd
-A INPUT -m state --state NEW -m tcp -p tcp --dport 662 -j ACCEPT
-A INPUT -m state --state NEW -m udp -p udp --dport 662 -j ACCEPT
# mountd
-A INPUT -m state --state NEW -m tcp -p tcp --dport 892 -j ACCEPT
-A INPUT -m state --state NEW -m udp -p udp --dport 892 -j ACCEPT
# nfs
-A INPUT -m state --state NEW -m tcp -p tcp --dport 2049 -j ACCEPT
-A INPUT -m state --state NEW -m udp -p udp --dport 2049 -j ACCEPT
# lockd_tcp
-A INPUT -m state --state NEW -m tcp -p tcp --dport 32803 -j ACCEPT
# lockd_udp
-A INPUT -m state --state NEW -m udp -p udp --dport 32769 -j ACCEPT
## /NFS
## Condor
-A INPUT -m state --state ESTABLISHED,NEW -p tcp -m tcp --dport 9000:9999 -j ACCEPT
-A INPUT -m state --state ESTABLISHED,NEW -p udp -m udp --dport 9000:9999 -j ACCEPT
## /Condor
### /Service rules ###
-A INPUT -j REJECT --reject-with icmp-host-prohibited
COMMIT

El rango de puertos permitido por el firewall para el servicio de NFS deberá coincidir con los especificados durante la especificación de puertos recién hecha, mientras que el rango de puertos permitido para Condor (9000:9999) deberá corresponder con las variables IN_LOWPORT e IN_HIGHPORT especificadas en el archivo /nfs/condor/condor-etc/condor_config.cluster, especificados durante la instalación y configuración de Condor.

Reiniciar los servicios

Reiniciar los servicios para que tengan efecto los cambios en la configuración recién realizados.

# /etc/init.d/iptables restart
 
# /etc/init.d/nfs restart
 
# /etc/init.d/nfslock restart

Activar el firewall

Activar el corta fuegos para que se inicie con el sistema operativo.

# chkconfig iptables on
 
# chkconfig --list iptables
 
    iptables           0:off    1:off    2:on    3:on    4:on    5:on    6:off

Asegurar los nodos trabajadores

Los nodos trabajadores actúan como clientes de los servicios del nodo cabeza así que no hay servicios que requieran una configuración particular en el firewall. Simplemente es necesario activarlo, al igual que en el nodo cabeza, para que se inicie con el sistema operativo.

Reiniciar los servicios

Reiniciar el servicio de firewall.

# /etc/init.d/iptables restart

Activar el firewall

# chkconfig iptables on
 
# chkconfig --list iptables
 
    iptables           0:off    1:off    2:on    3:on    4:on    5:on    6:off

Enlaces

cluster/asegurar_firewall.txt · Last modified: 2012/02/26 22:35 (external edit)