User Tools

Site Tools


grid:seguridad:firewall_ce

Firewall para el Compute Element (CE)

Control de versiones

Fecha Actividad Autor
07/06/2011 Publicación inicial Jorge Iván Meza Martínez.
08/06/2011 Actualización de reglas Jorge Iván Meza Martínez.

Introducción

En este capítulo se establecen los puertos requeridos por el Compute Element (CE) y se propnen unas reglas de iptables básicas para su restricción a nivel de firewall.

FIXME Pendiente de mayores pruebas de verificación y afinamiento antes de producción.

Especificación de puertos

Servicio Protocolo Puertos Entrada Salida Observaciones
GRAM tcp 2119 x Revisar los archivos de configuración globus-gatekeeper.conf y globus-job-manager.conf
bajo $VDT_LOCATION/globus/etc
GRAM callback tcp 20000 a 22000 x Revisar el valor de GLOBUS_TCP_PORT_RANGE en vdt-local-setup.sh
(o vdt-local-setup.csh) bajo $VDT_LOCATION/vdt/etc.
GRAM callback tcp 23000 a 25000 x Revisar el valor de GLOBUS_TCP_SOURCE_RANGE en vdt-local-setup.sh
(o vdt-local-setup.csh) bajo $VDT_LOCATION/vdt/etc.
GRAM-WS tcp 9443 x x Revisar el valor de $globus_port en configure_globus_ws bajo $VDT_LOCATION/vdt/setup.
GridFTP tcp 2811 x
GridFTP tcp 32769 a 65535 x
Monalisa udp 9000 x Revisar el archivo de configuración ml.properties bajo $VDT_LOCATION/MonaLisa/Service/VDTFarm.
No se utiliza por ahora en el proyecto.
Monalisa tcp 9000 a 9010 x Revisar el archivo de configuración ml.properties bajo $VDT_LOCATION/MonaLisa/Service/VDTFarm.
No se utiliza por ahora en el proyecto.

Propuesta de reglas

# vi /etc/sysconfig/iptables
iptables
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -p icmp --icmp-type any -j ACCEPT
### Service rules ###
## Internet Protocol Security (IPsec)
-A INPUT -p 50 -j ACCEPT
-A INPUT -p 51 -j ACCEPT
## Multicast DNS
-A INPUT -p udp --dport 5353 -d 224.0.0.251 -j ACCEPT
## Internet Printing Protocol
# -A INPUT -p udp -m udp --dport 631 -j ACCEPT
# -A INPUT -p tcp -m tcp --dport 631 -j ACCEPT
## Paquetes que no son parte de una conexión pero pertenecen a otra conexión relacionada
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
## SSH para administración remota
-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
## GRAM
-A INPUT  -m state --state NEW -p tcp -m tcp --dport 2119 -j ACCEPT
## GLOBUS_TCP_PORT_RANGE
-A INPUT  -m state --state NEW -p tcp -m tcp --dport 20000:22000 -j ACCEPT
## GLOBUS_TCP_SOURCE_RANGE
-A OUTPUT -m state --state NEW -p tcp -m tcp --dport 23000:25000 -j ACCEPT
## WebServices (GRAM-WS)
-A INPUT  -m state --state NEW -p tcp -m tcp --dport 9443 -j ACCEPT
-A OUTPUT -m state --state NEW -p tcp -m tcp --dport 9443 -j ACCEPT
## Gridftp
-A INPUT  -m state --state NEW -p tcp -m tcp --dport 2811 -j ACCEPT
## Monalisa, grabs 3 ports from the following range
-A INPUT  -m state --state NEW -p tcp -m tcp --dport 9000:9010 -j ACCEPT
-A INPUT  -m state --state NEW -p udp -m udp --dport 9000 -j ACCEPT
### /Service rules ###
-A INPUT -j REJECT --reject-with icmp-host-prohibited
COMMIT

Es posible que sea necesario complementar estas reglas con otras adicionales necesarias para el correcto funcionamiento de los distintos componentes del servidor.

Tómense en cuenta las reglas para el nodo principal del cluster (Condor y NFS) y la implementación permanente en el nodo principal del cluster las reglas para permitir a los nodos el acceso a Internet.

grid/seguridad/firewall_ce.txt · Last modified: 2012/02/26 22:35 (external edit)