User Tools

Site Tools


grid:seguridad:firewall_cliente

Firewall para el Cliente Grid (UI)

Control de versiones

Fecha Actividad Autor
07/06/2011 Publicación inicial Jorge Iván Meza Martínez.
08/06/2011 Actualización de las reglas Jorge Iván Meza Martínez.

Introducción

En este capítulo se establecen los puertos requeridos por el Cliente Grid (UI) y se propnen unas reglas de iptables básicas para su restricción a nivel de firewall.

Especificación de puertos

Servicio Protocolo Puertos Entrada Salida Observaciones
GRAM tcp 2119 x Revisar los archivos de configuración globus-gatekeeper.conf y globus-job-manager.conf
bajo $VDT_LOCATION/globus/etc
GRAM callback tcp 20000 a 22000 x Revisar el valor de GLOBUS_TCP_PORT_RANGE en vdt-local-setup.sh
(o vdt-local-setup.csh) bajo $VDT_LOCATION/vdt/etc.
GRAM callback tcp 23000 a 25000 x Revisar el valor de GLOBUS_TCP_SOURCE_RANGE en vdt-local-setup.sh
(o vdt-local-setup.csh) bajo $VDT_LOCATION/vdt/etc.
GridFTP tcp 2811 x
GridFTP tcp 32769 a 65535 x

Propuesta de reglas

# vi /etc/sysconfig/iptables
iptables
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -p icmp --icmp-type any -j ACCEPT
### Service rules ###
## Internet Protocol Security (IPsec)
-A INPUT -p 50 -j ACCEPT
-A INPUT -p 51 -j ACCEPT
## Multicast DNS
-A INPUT -p udp --dport 5353 -d 224.0.0.251 -j ACCEPT
## Internet Printing Protocol
# -INPUT -p udp -m udp --dport 631 -j ACCEPT
# -INPUT -p tcp -m tcp --dport 631 -j ACCEPT
## Paquetes que no son parte de una conexión pero pertenecen a otra conexión relacionada
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
## SSH para administración remota
-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
## GRAM
-A INPUT  -m state --state NEW -p tcp -m tcp --dport 2119 -j ACCEPT
## GLOBUS_TCP_PORT_RANGE
-A INPUT -m state --state NEW -p tcp -m tcp --dport 20000:22000 -j ACCEPT
## GLOBUS_TCP_SOURCE_RANGE
-A OUTPUT -m state --state NEW -p tcp -m tcp --dport 23000:25000 -j ACCEPT
## Gridftp
-A INPUT  -m state --state NEW -p tcp -m tcp --dport 2811 -j ACCEPT
### /Service rules ###
-A INPUT -j REJECT --reject-with icmp-host-prohibited
COMMIT

Es posible que sea necesario complementar estas reglas con otras adicionales necesarias para el correcto funcionamiento de los distintos componentes del servidor.

grid/seguridad/firewall_cliente.txt · Last modified: 2012/02/26 22:35 (external edit)