Создать правило | Документация Selectel

Создать правило в группе безопасности

OpenStack CLI

Входящий трафик
Исходящий трафик

Откройте OpenStack CLI.
Создайте правило в группе:
```
openstack security group rule create \
  --ingress \
  [--remote-ip <remote_ip> | --remote-group <remote_group>] \
  [--protocol <protocol>] \
  [--dst-port <port_range>] \
  <security_group>
```
Укажите:
- опционально: источник трафика, можно указать один или оба параметра. Если не указать источник, по умолчанию будет установлена подсеть 0.0.0.0/0:
  - --remote-ip <remote_ip> — для приема трафика с IP-адреса. Параметр <remote_ip> — IP-адрес или подсеть в формате CIDR;
  - --remote-group <remote_group> — для приема трафика от другой группы безопасности. Параметр <remote_group> — ID или имя группы, можно посмотреть с помощью команды openstack security group list. Чтобы разрешить трафик внутри группы, укажите ее имя. Можно указать только группу в том же пуле, для трафика из другого пула используйте --remote-ip <remote_ip>;
- опционально: --protocol <protocol> — протокол. Параметр <protocol> — название протокола из списка ниже. Если не указать параметр, будут разрешены любые протоколы:
  - icmp — ICMP;
  - tcp — TCP;
  - udp — UDP;
  - ah — AH;
  - dccp — DCCP;
  - egp — EGP;
  - esp — ESP;
  - gre — GRE;
  - igmp — IGMP;
  - ipv6-encap — IPv6-ENCAP;
  - ipv6-frag — IPv6-Frag;
  - ipv6-icmp — IPv6-ICMP;
  - ipv6-nonxt — IPv6-NoNxt;
  - ipv6-opts — IPv6-Opts;
  - ipv6-route — IPv6-Route;
  - ospf — OSPF;
  - pgm — PGM;
  - rsvp — RSVP;
  - sctp — SCTP;
  - udplite — UDP Lite;
  - vrrp — VRRP;
  - ipip — IP-in-IP;
  - any — любой протокол;
- опционально: --dst-port <port_range> — порты сервера, на которые разрешено принимать трафик. Параметр <port_range> — номер порта или диапазон портов, например 137:139. Укажите, если <protocol> — tcp, udp или any.
  
  Трафик на любой TCP/UDP-порт, заблокированный в Selectel по умолчанию, будет запрещен, даже если указать этот порт в правиле;
- <security_group> — ID или имя группы безопасности, которую создали на шаге 2, можно посмотреть с помощью команды openstack security group list.
Опционально: проверьте список правил в группе безопасности:
```
openstack security group rule list <security_group>
```
Укажите <security_group> — ID или имя группы безопасности, в которую добавили правило на шаге 2, можно посмотреть с помощью openstack security group list

Откройте OpenStack CLI.
Создайте правило в группе:
```
openstack security group rule create \
    --egress \
    [--remote-ip <remote_ip> | --remote-group <remote_group>] \
    [--dst-port <port_range>] \
    [--protocol <protocol>] \
    <security_group>
```
Укажите:
- опционально: назначение трафика, можно указать один или оба параметра. Если не указать назначение, по умолчанию будет установлена подсеть 0.0.0.0/0:
  - --remote-ip <remote_ip> — для отправки трафика на IP-адрес. Параметр <remote_ip> — IP-адрес или подсеть в формате CIDR;
  - --remote-group <remote_group> — для отправки трафика в другую группу безопасности. Параметр <remote_group> — ID или имя группы, можно посмотреть с помощью команды openstack security group list. Чтобы разрешить трафик внутри группы, укажите ее имя. Можно указать только группу в том же пуле, для трафика из другого пула используйте --remote-ip <remote_ip>;
- опционально: --protocol <protocol> — протокол. Параметр <protocol> — название протокола из списка ниже. Если не указать параметр, будут разрешены любые протоколы:
  - icmp — ICMP;
  - tcp — TCP;
  - udp — UDP;
  - ah — AH;
  - dccp — DCCP;
  - egp — EGP;
  - esp — ESP;
  - gre — GRE;
  - igmp — IGMP;
  - ipv6-encap — IPv6-ENCAP;
  - ipv6-frag — IPv6-Frag;
  - ipv6-icmp — IPv6-ICMP;
  - ipv6-nonxt — IPv6-NoNxt;
  - ipv6-opts — IPv6-Opts;
  - ipv6-route — IPv6-Route;
  - ospf — OSPF;
  - pgm — PGM;
  - rsvp — RSVP;
  - sctp — SCTP;
  - udplite — UDP Lite;
  - vrrp — VRRP;
  - ipip — IP-in-IP;
  - any — любой протокол;
- опционально: --dst-port <port_range> — порты сервера, с которых разрешено отправлять трафик. Параметр <port_range> — номер порта или диапазон портов, например 137:139. Укажите, если <protocol> — tcp, udp или any.
  
  Трафик на любой TCP/UDP-порт, заблокированный в Selectel по умолчанию, будет запрещен, даже если указать этот порт в правиле;
- <security_group> — ID или имя группы безопасности, которую вы создали на шаге 2, можно посмотреть с помощью команды openstack security group list.
Опционально: проверьте список правил в группе безопасности:
```
openstack security group rule list <security_group>
```
Укажите <security_group> — ID или имя группы безопасности, в которую добавили правило на шаге 2, можно посмотреть с помощью openstack security group list <security_group>.