Управлять правилами облачного файрвола
Для облачного файрвола можно добавить новые правила, изменить существующие правила, изменить порядок правил, а также включать, отключать и удалять правила.
Добавить правило
После добавления запрещающего правила на облачном роутере прервутся активные сессии, которые соответствуют этому правилу.
Можно добавить до 100 правил на каждое направление трафика (политику) для одного облачного файрвола.
Панель управления
OpenStack CLI
- В панели управления в верхнем меню нажмите Продукты и выберите Облачные серверы.
- Перейдите в раздел Файрволы.
- Откройте страницу файрвола.
- Выберите направление трафика:
Входящий трафик
Исходящий трафик
-
Откройте вкладку Входящий трафик.
-
Нажмите Создать правило.
-
Выберите действие:
- Allow — разрешить трафик;
- Deny — отклонить трафик.
-
Если вам подходят шаблоны с правилами для входящего трафика, выберите правило. Поля протокола, источника, портов источника, назначения трафика и порта назначения заполнятся автоматически. Перейдите на шаг 15.
-
Если подходящего шаблона нет, добавьте собственное правило для входящего трафика.
-
Выберите протокол: ICMP, TCP, UDP или все протоколы (Any).
-
Введите источник трафика (Source) — IP-адрес, подсеть или все адреса (Any).
-
Введите порт источника (Src. port) — один порт, диапазон портов или все порты (Any).
-
Введите назначение трафика (Destination) — IP-адрес, подсеть или все адреса (Any). Если указать подсеть, то правило будет действовать на все устройства в подсети.
-
Введите порт назначения (Dst. port) — один порт, диапазон портов или все порты (Any).
Трафик на любой TCP/UDP-порт, заблокированный в Selectel по умолчанию, будет запрещен, даже если указать этот порт в правиле.
-
Введите имя правила или оставьте имя, созданное автоматически.
-
Опционально: введите комментарий для правила.
-
Нажмите Добавить.
-
Откройте вкладку Исходящий трафик.
-
Нажмите Создать правило.
-
Выберите действие:
- Allow — разрешить трафик;
- Deny — отклонить трафик.
-
Если вам подходят шаблоны с правилами для исходящего трафика, выберите правило. Поля протокола, источника, портов источника, назначения трафика и порта назначения заполнятся автоматически. Перейдите на шаг 15.
-
Если подходящего шаблона нет, добавьте собственное правило для исходящего трафика.
-
Выберите протокол: ICMP, TCP, UDP или все протоколы (Any).
-
Введите источник трафика (Source) — IP-адрес, подсеть или все адреса (Any). Если указать подсеть, то правило будет действовать на все устройства в подсети.
-
Введите порт источника (Src. port) — один порт, диапазон портов или все порты (Any).
-
Введите назначение трафика (Destination) — IP-адрес, подсеть или все адреса (Any).
-
Введите порт назначения (Dst. port) — один порт, диапазон портов или все порты (Any).
Трафик на любой TCP/UDP-порт, заблокированный в Selectel по умолчанию, будет запрещен, даже если указать этот порт в правиле.
-
Введите имя правила или оставьте имя, созданное автоматически.
-
Опционально: введите комментарий для правила.
-
Нажмите Добавить.
- Проверьте порядок правил, они выполняются по порядку в списке — сверху вниз. При необходимости измените порядок — перетащите правила. После создания файрвола можно изменить порядок правил.
-
Создайте правило:
openstack firewall group rule create \
--action <action> \
--protocol <protocol> \
[--source-ip-address <source_ip_address> | --no-source-ip-address] \
[--source-port <source_port> | --no-source-port] \
[--destination-ip-address <destination_ip_address> | --no-destination-ip-address] \
[--destination-port <destination_port> | --no-destination-port]Укажите:
-
<action>
— действие:allow
-