Создать облачный файрвол
У облачного файрвола есть базовое свойство: весь входящий и исходящий трафик, который не разрешен, — запрещен. Если создать файрвол без правил и назначить его на порт облачного роутера, весь трафик в подсети роутера будет запрещен. После создания файрвола на роутере прервутся все активные сессии.
Панель управления
OpenStack CLI
Terraform
-
В панели управления перейдите в раздел Облачная платформа → Файрволы.
-
Нажмите Создать файрвол.
-
Выберите пул, в котором будет создан файрвол.
-
Опционально: выберите приватную подсеть с облачным роутером, для которой нужно настроить фильтрацию трафика. Файрвол назначается на порт облачного роутера в этой приватной подсети.
Назначить файрвол на порт роутера можно после создания файрвола.
-
Выберите направление трафика:
Входящий трафик
Исходящий трафик
-
Если вам подходят шаблоны с правилами для входящего трафика, нажмите на правило. Поля протокола, источника, портов источника, назначения трафика и порта назначения заполнятся автоматически. Перейдите на шаг 14.
-
Если подходящего шаблона нет, добавьте собственное правило для входящего трафика. Нажмите Добавить правило входящего трафика.
-
Выберите действие:
- Allow — разрешить трафик;
- Deny — отклонить трафик.
-
Выберите протокол: ICMP, TCP, UDP или все протоколы (Any).
-
Введите источник трафика (Source) — IP-адрес, подсеть или все адреса (Any).
-
Введите порт источника (Src. port) — один порт, диапазон портов или все порты (Any).
-
Введите назначение трафика (Destination) — IP-адрес, подсеть или все адреса (Any). Если указать подсеть, то правило будет действовать на все устройства в подсети.
-
Введите порт назначения (Dst. port) — один порт, диапазон портов или все порты (Any).
Трафик на любой TCP/UDP-порт, заблокированный в Selectel по умолчанию, будет запрещен, даже если указать этот порт в правиле.
-
Введите имя правила или оставьте имя, созданное автоматически.
-
Опционально: введите комментарий для правила.
-
Нажмите Добавить. После создания файрвола можно изменить правило.
-
Если вам подходят шаблоны с правилами для исходящего трафика, нажмите на правило. Поля протокола, источника, портов источника, назначения трафика и порта назначения заполнятся автоматически. Перейдите на шаг 14.
-
Если подходящего шаблона нет, добавьте собственное правило для исходящего трафика. Нажмите Добавить правило исходящего трафика.
-
Выберите действие:
- Allow — разрешить трафик;
- Deny — отклонить трафик.
-
Выберите протокол: ICMP, TCP, UDP или все протоколы (Any).
-
Введите источник трафика (Source) — IP-адрес, подсеть или все адреса (Any). Если указать подсеть, то правило будет действовать на все устройства в подсети.
-
Введите порт источника (Src. port) — один порт, диапазон портов или все порты (Any).
-
Введите назначение трафика (Destination) — IP-адрес, подсеть или все адреса (Any).
-
Введите порт назначения (Dst. port) — один порт, диапазон портов или все порты (Any).
Трафик на любой TCP/UDP-порт, заблокированный в Selectel по умолчанию, будет запрещен, даже если указать этот порт в правиле.
-
Введите имя правила или оставьте имя, созданное автоматически.
-
Опционально: введите комментарий для правила.
-
Нажмите Добавить. После создания файрвола можно изменить правило.
- Проверьте порядок правил, они выполняются по порядку в списке — сверху вниз. При необходимости измените порядок — перетащите правила. После создания файрвола можно изменить порядок правил.
- Опционально: чтобы добавить к файрволу другое правило, перейдите на шаг 5. Можно добавить до 100 правил на каждое направление трафика.
- Введите имя файрвола или оставьте имя, созданное автоматически.
- Опционально: введите комментарий для файрвола.
- Нажмите Создать файрвол.
-
Создайте правило:
openstack firewall group rule create \
--action <action> \
--protocol <protocol> \
[--source-ip-address <source_ip_address> | --no-source-ip-address] \
[--source-port <source_port> | --no-source-port] \
[--destination-ip-address <destination_ip_address> | --no-destination-ip-address] \
[--destination-port <destination_port> | --no-destination-port]Укажите:
-
<action>
— действие:allow
— разрешить трафик;deny
— отклонить трафик;
-
<protocol>
— протокол:icmp
— ICMP;tcp
— TCP;udp
— UDP;any
— все протоколы;
-
источник трафика:
--source-ip-address <source_ip_address>
— IP-адр ес или подсеть. Если вы укажете подсеть и назначите это правило на политику для исходящего трафика, то правило будет действовать на все устройства в подсети;--no-source-ip-address
— все адреса (Any);
-
порт источника:
--source-port <source_port>
— один порт или диапазон портов;--no-source-port
— все порты (Any);
-
назначение трафика:
--destination-ip-address <destination_ip_address>
— IP-адрес или подсеть. Если вы укажете подсеть и назначите это правило на политику для входящего трафика, то правило будет действовать на все устройства в подсети;--no-destination-ip-address
— все адреса (Any);
-
порт назначения:
--destination-port <destination_port>
— один порт или диапазон портов;--no-destination-port
— все порты (Any).
Трафик на любой TCP/UDP-порт, заблокированный в Selectel по умолчанию, будет запрещен, даже если указать этот порт в правиле.
-
-
Создайте политику для файрвола:
openstack firewall group policy create \
--firewall-rule <firewall_rule> \
<policy_name>Укажите:
<firewall_rule>
— ID или имя правила. Список можно посмотреть с помощьюopenstack firewall group rule list
. Чтобы добавить несколько правил, разделите их имена или ID пробелом. Проверьте порядок правил, они выполняются по поря дку;<policy_name>
— имя политики.
-
Создайте файрвол:
openstack firewall group create \
[--ingress-firewall-policy <firewall_ingress_policy> | --no-ingress-firewall-policy] \
[--egress-firewall-policy <firewall_egress_policy> | --no-egress-firewall-policy] \
--port <router_port>Укажите:
- политика для входящего трафика:
--ingress-firewall-policy <firewall_ingress_policy>
— ID или имя политики для входящего трафика. Список можно посмотреть с помощьюopenstack firewall group policy list
. Можно добавить только одну политику для входящего трафика;--no-ingress-firewall-policy
— укажите, если политики для входящего трафика нет;
- политика для исходящего трафика:
--egress-firewall-policy <firewall_egress_policy>
— ID или имя политики для исходящего трафика. Список можно посмотреть с помощьюopenstack firewall group policy list
. Можно добавить только одну политику для исходящего трафика;--no-egress-firewall-policy
— укажите, если политики для исходящего трафика нет;
<router_port>
— ID или имя порта роутера, на который будет назначен файрвол. Список можно посмотреть с помощьюopenstack port list
. Чтобы назначить файрвол на несколько портов роутера, перечислите их имена или ID через пробел.
- политика для входящего трафика:
Используйте инструкции в документации Terraform: