Создать правило в группе безопасности

Через панель управления можно создать правило с протоколом TCP, UDP, ICMP или Any (все протоколы). Через OpenStack CLI можно создать правило с любым протоколом.

Создать правило для входящего трафика⁠

Панель управления
OpenStack CLI

В панели управления в верхнем меню нажмите Продукты и выберите Облачные серверы.
Перейдите в раздел Группы безопасности.
Откройте страницу группы безопасности.
Откройте вкладку Входящий трафик.
Нажмите Создать правило.
Если вам подходит один из шаблонов правил для входящего трафика, выберите шаблон из списка. Поля протокола, источника, портов источника, назначения трафика и порта назначения заполнятся автоматически.
Если шаблоны не подходят, укажите свои параметры правила:

7.1. Выберите протокол или нажмите Все протоколы.

7.2. Укажите источник трафика (Source):
- для трафика от IP-адреса или подсети — выберите CIDR и введите IP-адрес или подсеть, либо нажмите Все источники;
- для трафика от группы безопасности — выберите Группа безопасности и выберите группу. Доступны группы безопасности в том же пуле. Если вам нужно принимать трафик из другого пула, укажите CIDR источника.
7.3. Введите порт, на который разрешено принимать трафик (Dst. port) — один порт или диапазон портов, либо нажмите Все порты.

7.4. Опционально: введите комментарий для правила.
Нажмите Создать.

Откройте OpenStack CLI.
Создайте правило в группе:
```
openstack security group rule create \
    --ingress \
    [--remote-ip <remote_ip> | --remote-group <remote_group>] \
    [--protocol <protocol>] \
    [--dst-port <port_range>] \
    <security_group>
```
Укажите:
- опционально: источник трафика, можно указать один или оба параметра. Если не указать источник, по умолчанию будет установлена подсеть 0.0.0.0/0:
  - --remote-ip <remote_ip> — для приема трафика с IP-адреса. Параметр <remote_ip> — IP-адрес или подсеть в формате CIDR;
  - --remote-group <remote_group> — для приема трафика от другой группы безопасности. Параметр <remote_group> — ID или имя группы, можно посмотреть с помощью команды openstack security group list. Чтобы разрешить трафик внутри группы, укажите ее имя. Можно указать только группу в том же пуле, для трафика из другого пула используйте --remote-ip <remote_ip>;
- опционально: --protocol <protocol> — протокол. Параметр <protocol> — название протокола из списка ниже. Если не указать параметр, будут разрешены любые протоколы:
  - icmp — ICMP;
  - tcp — TCP;
  - udp — UDP;
  - ah — AH;
  - dccp — DCCP;
  - egp — EGP;
  - esp — ESP;
  - gre — GRE;
  - igmp — IGMP;
  - ipv6-encap — IPv6-ENCAP;
  - ipv6-frag — IPv6-Frag;
  - ipv6-icmp — IPv6-ICMP;
  - ipv6-nonxt — IPv6-NoNxt;
  - ipv6-opts — IPv6-Opts;
  - ipv6-route — IPv6-Route;
  - ospf — OSPF;
  - pgm — PGM;
  - rsvp — RSVP;
  - sctp — SCTP;
  - udplite — UDP Lite;
  - vrrp — VRRP;
  - ipip — IP-in-IP;
  - any — любой протокол;
- опционально: --dst-port <port_range> — порты сервера, на которые разрешено принимать трафик. Параметр <port_range> — номер порта или диапазон портов, например 137:139. Укажите, если <protocol> — tcp, udp или any.
  
  Трафик на любой TCP/UDP-порт, заблокированный в Selectel по умолчанию, будет запрещен, даже если указать этот порт в правиле;
- <security_group> — ID или имя группы безопасности, можно посмотреть с помощью команды openstack security group list.
Опционально: проверьте список правил в группе безопасности:
```
openstack security group rule list <security_group>
```
Укажите <security_group> — ID или имя группы безопасности, в которую добавили правило на шаге 2, можно посмотреть с помощью команды openstack security group list.

Создать правило для исходящего трафика⁠

Панель управления
OpenStack CLI

В панели управления в верхнем меню нажмите Продукты и выберите Облачные серверы.
Перейдите в раздел Группы безопасности.
Откройте страницу группы безопасности.
Откройте вкладку Исходящий трафик.
Нажмите Создать правило.
Если вам подходит один из шаблонов правил для исходящего трафика, выберите шаблон из списка. Поля протокола, источника, портов источника, назначения трафика и порта назначения заполнятся автоматически.
Если шаблоны не подходят, укажите свои параметры правила:

7.1. Выберите протокол или нажмите Все протоколы.

7.2. Укажите назначение трафика (Destination):
- для трафика от IP-адреса или подсети — выберите CIDR и введите IP-адрес или подсеть либо нажмите Все источники;
- для трафика от группы безопасности — выберите Группа безопасности и выберите группу. Доступны группы безопасности в том же пуле. Если вам нужно отправлять трафик в другой пул, укажите CIDR источника.
7.3. Введите порт источника (Src. port) — один порт или диапазон портов либо нажмите Все порты.

7.4. Опционально: введите комментарий для правила.
Нажмите Создать.

Откройте OpenStack CLI.
Создайте правило в группе:
```
openstack security group rule create \
    --egress \
    [--remote-ip <remote_ip> | --remote-group <remote_group>] \
    [--dst-port <port_range>] \
    [--protocol <protocol>] \
    <security_group>
```
Укажите:
- опционально: назначение трафика, можно указать один или оба параметра. Если не указать назначение, по умолчанию будет установлена подсеть 0.0.0.0/0:
  - --remote-ip <remote_ip> — для отправки трафика на IP-адрес. Параметр <remote_ip> — IP-адрес или подсеть в формате CIDR;
  - --remote-group <remote_group> — для отправки трафика в другую группу безопасности. Параметр <remote_group> — ID или имя группы, можно посмотреть с помощью команды openstack security group list. Чтобы разрешить трафик внутри группы, укажите ее имя. Можно указать только группу в том же пуле, для трафика из другого пула используйте --remote-ip <remote_ip>;
- опционально: --protocol <protocol> — протокол. Параметр <protocol> — название протокола из списка ниже. Если не указать параметр, будут разрешены любые протоколы:
  - icmp — ICMP;
  - tcp — TCP;
  - udp — UDP;
  - ah — AH;
  - dccp — DCCP;
  - egp — EGP;
  - esp — ESP;
  - gre — GRE;
  - igmp — IGMP;
  - ipv6-encap — IPv6-ENCAP;
  - ipv6-frag — IPv6-Frag;
  - ipv6-icmp — IPv6-ICMP;
  - ipv6-nonxt — IPv6-NoNxt;
  - ipv6-opts — IPv6-Opts;
  - ipv6-route — IPv6-Route;
  - ospf — OSPF;
  - pgm — PGM;
  - rsvp — RSVP;
  - sctp — SCTP;
  - udplite — UDP Lite;
  - vrrp — VRRP;
  - ipip — IP-in-IP;
  - any — любой протокол;
- опционально: --dst-port <port_range> — порты сервера, с которых разрешено отправлять трафик. Параметр <port_range> — номер порта или диапазон портов, например 137:139. Укажите, если <protocol> — tcp, udp или any.
  
  Трафик на любой TCP/UDP-порт, заблокированный в Selectel по умолчанию, будет запрещен, даже если указать этот порт в правиле;
- <security_group> — ID или имя группы безопасности, можно посмотреть с помощью команды openstack security group list.
Опционально: проверьте список правил в группе безопасности:
```
openstack security group rule list <security_group>
```
Укажите <security_group> — ID или имя группы безопасности, в которую добавили правило на шаге 2, можно посмотреть с помощью команды openstack security group list.

Создать правило в группе безопасности

Создать правило для входящего трафика⁠​

Создать правило для исходящего трафика⁠​

Создать правило для входящего трафика⁠

Создать правило для исходящего трафика⁠