Avatar
Andreea
  • Actualización

Plugin de filtro de acceso

El plugin AccessFilter te permite controlar qué direcciones IP pueden acceder a tu GpsGate Server.

Esta guía explica cómo puedes instalar y usar el plugin AccessFilter en el GpsGate Server. Después de instalar este plugin, podrás restringir el acceso a tu GpsGate Server definiendo filtros de acceso. Esto puede ser muy útil si deseas que los administradores o dispositivos puedan acceder al GpsGate Server solo desde direcciones IP de confianza.

Los filtros que creas son específicos para cada aplicación y rol, por lo que puedes crear diferentes filtros de acceso para diferentes roles en cada aplicación. Esta guía te llevará a través de los pasos para realizar estas operaciones.

Instalación

  1. Instala el plugin AccessFilter.
  2. Navega a la pestaña Seguridad en Administración del sitio, y puedes acceder a la página del plugin haciendo clic en el enlace Filtros de Acceso del menú lateral.

Si ya has instalado el plugin AccessFilter, asegúrate de tener todos tus plugins actualizados.

Creación de Elementos de Filtro de Acceso

Una vez que llegues a la página del plugin AccessFilter por primera vez, la página te indicará que no hay elementos de filtro de acceso definidos. Puedes hacer clic en el botón Crear Nuevo en la parte superior derecha de la pantalla para acceder al formulario, donde puedes crear elementos de filtro de acceso en dos pasos.

Paso 1: Creación de Cadena de Filtro de Acceso

Una cadena representa un elemento de filtro de acceso que puede ser asignado a un rol en una aplicación. Una cadena se compone de reglas y requiere un nombre único para ser identificada.

Aquí, debes completar:

  • Nombre: Un nombre único para identificar la cadena de filtro de acceso.
  • Descripción (Opcional): Descripción para esta cadena.
  • Habilitado: Si esta cadena está activa o no. Las cadenas de filtro de acceso deshabilitadas serán ignoradas.

Después de completar los campos y hacer clic en Guardar, puedes proceder a definir las reglas de filtro de acceso.

Paso 2: Creación de Reglas de Filtro de Acceso

Una regla es parte de una cadena de filtro de acceso, especifica qué dirección o grupo de direcciones debe ser permitido/denegado. Puedes definir múltiples reglas en una cadena, y se ejecutarán en el orden en que están listadas.

Cuando haces clic en el botón “Agregar Nueva Regla”, se mostrará el formulario a continuación.

Aquí, debes completar:

  • Acción: Especifica si esta regla debe Permitir o Denegar la dirección o grupo de direcciones especificado.
  • Alcance: Tipo de dirección o grupo de direcciones.
  • Valores de dirección: La entrada requerida en esta sección cambia dependiendo de tu elección de Alcance en el paso anterior.
    • Para Dirección IP, debes especificar una sola dirección IP. (Ejemplo: 192.168.0.112)
    • Para Subred, debes especificar una dirección IP base y una máscara de subred. (Ejemplo: 192.168.0.0/24)
    • Para el Rango de Direcciones IP, debes especificar el inicio y el fin del rango de IP. (Ejemplo: Desde [192.168.0.0] - Hasta [192.168.0.255])
  • Habilitado: Si esta regla está activa o no. Las reglas deshabilitadas serán ignoradas.
  • Nota (Opcional): Descripción de esta regla.

Cuando haces clic en “Guardar”, la regla se registrará como la última regla en la cadena. Sin embargo, puedes modificar y reordenar las reglas como desees en la lista de reglas, como se ve a continuación:

Access_Filter_View_Rules.png

Navegando a la página principal del filtro de acceso, también puedes modificar y reordenar los elementos de la cadena de filtro de acceso.

Access_Filter_View_Chains.png

Asignación de Cadenas de Filtro de Acceso a Roles

Ahora que has creado cadenas de filtro de acceso y definido reglas de acceso bajo ellas, puedes especificar a qué roles debe aplicarse el filtro de acceso. Para hacerlo, debes seguir los pasos a continuación:

  1. Navega al Menú Principal > Administración del sitio > Aplicaciones > Administrar Aplicaciones
  2. Haz clic en la aplicación para la cual deseas habilitar las cadenas de filtro de acceso.
  3. Desplázate hacia abajo hasta la sección Privilegios y Plugins. Encuentra el nodo Plugins en el árbol de privilegios.
  4. Debajo de Plugins, expande los nodos de privilegio AccessFilter y luego _AccessFilter.
  5. Marca/Desmarca las cadenas de filtro de acceso que deseas habilitar/deshabilitar para esta aplicación.
  6. Haz clic en “Guardar”. Ahora la aplicación tiene los elementos de filtro de acceso seleccionados habilitados, y están asignados al rol _Administrador automáticamente.
  7. Inicia sesión en la Aplicación de Rastreador de Activos. Desde el Menú Principal, ve a “Admin” ⇒ “Roles”.
  8. En la ventana Roles, haz clic en el rol al que deseas asignar elementos de filtro de acceso.
  9. Debajo de Privilegios, puedes asignar elementos de filtro de acceso a este rol de la misma manera que lo hiciste para la aplicación.

Cómo Funciona

Cuando un usuario intenta conectarse al GpsGate Server, el mecanismo de filtro de acceso primero verifica qué rol(es) tiene el usuario. El siguiente paso es iterar a través de todas las cadenas de filtro de acceso asignadas al rol(es) del usuario. Se aplica la primera regla que cubre la dirección IP del usuario. Por lo tanto, el acceso se permite/deniega dependiendo de lo que instruya la primera regla coincidente. Si no hay coincidencia, el acceso se deniega por defecto.

Ten en cuenta que los elementos de filtro de acceso se tendrán en cuenta justo después de asignarlos a un rol. Además, si no habilitas el privilegio _AccessFilter para un rol, el mecanismo de filtro de acceso ignorará este rol, lo que significa que el rol en particular siempre será permitido.

Escenarios de Ejemplo

La funcionalidad proporcionada por este plugin puede ser muy útil cuando deseas restringir el acceso a administradores y dispositivos que intentan conectarse al GpsGate Server.

Escenario 1: Restringir acceso

Si deseas que un rol pueda iniciar sesión en el sistema solo desde una dirección IP de confianza, utiliza el plugin AccessFilter para definir una cadena que incluya solo una regla:

Access_Filter_Scenario_1.png

Ahora, puedes especificar a qué roles debe aplicarse el filtro de acceso. Para hacerlo:

  1. Navega a Menú Principal > Administración del sitio > Aplicaciones > Administrar Aplicaciones
  2. Haz clic en la aplicación para la cual deseas habilitar cadenas de filtros de acceso.
  3. Desplázate hacia abajo hasta la sección de Privilegios y Plugins. Encuentra el nodo de Plugins en el árbol de privilegios.
  4. Debajo de Plugins, expande los nodos de privilegio AccessFilter y luego _AccessFilter.
  5. Marca/Desmarca las cadenas de filtros de acceso que deseas habilitar/deshabilitar para esta aplicación.
  6. Haz clic en “Guardar”. Ahora la aplicación tiene los elementos de filtro de acceso seleccionados habilitados, y se asignan automáticamente al rol _Administrator.
  7. Inicia sesión en la Aplicación de Rastreador de Activos. Desde el Menú Principal, ve a “Admin” ⇒ “Roles”.
  8. En la ventana de Roles, haz clic en el rol al que deseas asignar elementos de filtro de acceso.
  9. Debajo de Privilegios, puedes asignar elementos de filtro de acceso a este rol de la misma manera que lo hiciste para la aplicación.

Una vez que esta cadena de filtros de acceso esté habilitada, solo los clientes con la dirección IP 66.249.64.167 podrán acceder al sistema.

Escenario 2: Restringir acceso a dispositivos

Piensa en un caso donde deseas que los dispositivos de rastreo puedan enviar datos desde un rango específico de direcciones IP. Además, quieres bloquear una dirección IP específica en ese rango.

Lo que puedes hacer aquí es definir una cadena que tenga dos reglas (por favor, nota el orden):

Access_Filter_Scenario_2.png

Para habilitar esta cadena de filtros de acceso, asegúrate de seguir los pasos en la sección Asignar Cadenas de Filtros de Acceso a Roles. Una vez que esta cadena esté habilitada para el rol _Unit, se denegará el acceso a dispositivos con la dirección IP: 66.249.64.167. Todos los demás dispositivos dentro del Rango de IP: 66.249.64.0 – 66.249.64.255 serán permitidos.

Notas Importantes

  • El acceso desde la máquina host (es decir, localhost) siempre está permitido, independientemente de los filtros de acceso definidos.
  • Los filtros de acceso se aplican solo a conexiones que usan HTTP, TCP o UDP.
  • Cuando habilitas una cadena de filtros de acceso para una aplicación, se asigna automáticamente al rol _Administrator.

Artículos relacionados