Настроить разрешенные IP/MAC-адреса на порте

Последнее изменение: 08 апреля 2025

Настроить разрешенные IP/MAC-адреса на порте

Трафик порта с группой безопасности может отправляться только с одной пары IP/MAC-адрес, которая назначается при добавлении порта в подсеть. Если через порт передается трафик с адресов, которые не указаны на порте, такой трафик будет заблокирован. Чтобы разрешить трафик с адресов, которые не указаны на порте, нужно добавить разрешенные IP/MAC-адреса в настройки порта.

Например, если вы самостоятельно развернули на облачном сервере:

• VPN-сервер — нужно разрешить все IP-адреса (подсеть 0.0.0.0/0);
• кластер Kubernetes с CNI Calico в режиме роутинга Direct — нужно разрешить подсеть, которая используется в кластере. Для CNI Flannel настройка не требуется.

Если дополнительные адреса будут не нужны, вы сможете удалить их с порта.

Настраивать разрешенные адреса не требуется в кластерах Managed Kubernetes, облачных базах данных, готовом облаке 1С, а также на облачных серверах, созданных из образов с приложениями. Все необходимые настройки для них уже выполнены.

Добавить разрешенные IP/MAC-адреса⁠

Для одного порта можно добавить не более 10 дополнительных пар IP/MAC-адрес.

Добавить разрешенные адреса на порт в приватной подсети⁠

Панель управления

1. В панели управления в верхнем меню нажмите Продукты и выберите Облачные серверы.

2. Перейдите в раздел Сеть → вкладка Приватные сети.

3. Откройте страницу сети → вкладка Порты.

4. В карточке порта в поле групп безопасности нажмите .

5. Если вы хотите разрешить все IP-адреса, нажмите Разрешить все IP-адреса для VPN. Будет разрешен трафик из подсети 0.0.0.0/0 с MAC-адресом порта по умолчанию.

6. Если вы хотите разрешить трафик с конкретных адресов:

   6.1. Нажмите Добавить пару IP/MAC.

   6.2. Введите IP-адрес или подсеть в формате CIDR.

   6.3. Опционально: введите MAC-адрес, который соответствует IP-адресу, или оставьте MAC-адрес порта по умолчанию.

   6.4. Чтобы добавить еще одну пару адресов, повторите шаги 6.1 — 6.3.

7. Нажмите Сохранить.

OpenStack CLI

1. Откройте OpenStack CLI.

2. Добавьте разрешенные адреса:

   openstack port set \
     --allowed-address ip-address=<ip_address>[,mac-address=<mac_address>] \
     <port>

   Укажите:

   • <ip_address> — IP-адрес или подсеть. Если вы хотите разрешить все IP-адреса, введите подсеть 0.0.0.0/0;
   • опционально: ,mac-address=<mac_address> — MAC-адрес, соответствующий IP-адресу. Параметр <mac_address> — значение MAC-адреса. Если не указать MAC-адрес, будет использоваться основной MAC-адрес порта;
   • <port> — ID порта, можно посмотреть с помощью команды openstack port list.

Добавить разрешенные адреса на порт в публичной подсети⁠

Панель управления

1. В панели управления в верхнем меню нажмите Продукты и выберите Облачные серверы.

2. Перейдите в раздел Сеть → вкладка Публичные подсети.

3. Откройте карточку подсети → вкладка Порты.

4. В строке порта в поле Группы безопасности нажмите .

5. Если вы хотите разрешить все IP- и MAC-адреса, нажмите Разрешить все IP-адреса для VPN. Будет разрешен трафик из подсети 0.0.0.0/0 с MAC-адресом порта по умолчанию.

6. Если вы хотите разрешить трафик с конкретных адресов:

   6.1. Нажмите Добавить пару IP/MAC.

   6.2. Введите IP-адрес или подсеть в формате CIDR.

   6.3. Опционально: введите MAC-адрес, который соответствует IP-адресу, или оставьте MAC-адрес порта по умолчанию.

   6.4. Чтобы добавить еще одну пару адресов, повторите шаги 6.1 — 6.3.

7. Нажмите Сохранить.

OpenStack CLI

1. Откройте OpenStack CLI.

2. Добавьте разрешенные адреса:

   openstack port set \
     --allowed-address ip-address=<ip_address>[,mac-address=<mac_address>] \
     <port>

   Укажите:

   • <ip_address> — IP-адрес или подсеть. Если вы хотите разрешить все IP-адреса, введите подсеть 0.0.0.0/0;
   • опционально: ,mac-address=<mac_address> — MAC-адрес, соответствующий IP-адресу. Параметр <mac_address> — значение MAC-адреса. Если не указать MAC-адрес, будет использоваться MAC-адрес порта по умолчанию;
   • <port> — ID порта, можно посмотреть с помощью команды openstack port list.

Удалить разрешенные IP/MAC-адреса⁠

Удалить разрешенные адреса с порта в приватной подсети⁠

Панель управления

1. В панели управления в верхнем меню нажмите Продукты и выберите Облачные серверы.

2. Перейдите в раздел Сеть → вкладка Приватные сети.

3. Откройте страницу сети → вкладка Порты.

4. В карточке порта в поле групп безопасности нажмите .

5. В строке пары адресов нажмите .

6. Нажмите Сохранить.

OpenStack CLI

1. Откройте OpenStack CLI.

2. Если нужно удалить одну пару IP-адрес — MAC-адрес:

   openstack port unset \
     --allowed-address ip-address=<ip-address>[,mac-address=<mac-address>] \
     <port>

   Укажите:

   • <ip_address> — IP-адрес, который нужно удалить;
   • ,mac-address=<mac_address> — если с IP-адресом нужно удалить MAC-адрес. Параметр <mac_address> — значение MAC-адреса;
   • <port> — ID порта, можно посмотреть с помощью команды openstack port list.

3. Если нужно удалить все разрешенные адреса с порта:

   openstack port set \
     --no-allowed-address \
     <port>

Удалить разрешенные адреса с порта в публичной подсети⁠

Панель управления

1. В панели управления в верхнем меню нажмите Продукты и выберите Облачные серверы.

2. Перейдите в раздел Сеть → вкладка Публичные подсети.

3. Откройте карточку подсети → вкладка Порты.

4. В строке порта в поле Группы безопасности нажмите .

5. В строке пары адресов нажмите .

6. Нажмите Сохранить.

OpenStack CLI

1. Откройте OpenStack CLI.

2. Если нужно удалить одну пару IP-адрес — MAC-адрес:

   openstack port unset \
     --allowed-address ip-address=<ip-address>[,mac-address=<mac-address>] \
     <port>

   Укажите:

   • <ip_address> — IP-адрес, который нужно удалить;
   • ,mac-address=<mac_address> — если с IP-адресом нужно удалить MAC-адрес. Параметр <mac_address> — значение MAC-адреса;
   • <port> — ID порта, можно посмотреть с помощью команды openstack port list.

3. Если нужно удалить все разрешенные адреса с порта:

   openstack port set \
     --no-allowed-address \
     <port>