Управлять правилами облачного файрвола

Последнее изменение: 11 ноября 2024

Управлять правилами облачного файрвола

Для облачного файрвола можно добавить новые правила, изменить существующие правила, изменить порядок правил, а также включать, отключать и удалять правила.

Добавить правило⁠

осторожно

После добавления запрещающего правила на облачном роутере прервутся активные сессии, которые соответствуют этому правилу.

Можно добавить до 100 правил на каждое направление трафика (политику) для одного облачного файрвола.

Панель управления

1. В панели управления перейдите в раздел Облачная платформа → Файрволы.
2. Откройте страницу файрвола.
3. Выберите направление трафика:

Входящий трафик

4. Откройте вкладку Входящий трафик.

5. Нажмите Создать правило.

6. Выберите действие:

   • Allow — разрешить трафик;
   • Deny — отклонить трафик.

7. Если вам подходят шаблоны с правилами для входящего трафика, выберите правило. Поля протокола, источника, портов источника, назначения трафика и порта назначения заполнятся автоматически. Перейдите на шаг 14.

8. Если подходящего шаблона нет, добавьте собственное правило для входящего трафика.

9. Выберите протокол: ICMP, TCP, UDP или все протоколы (Any).

10. Введите источник трафика (Source) — IP-адрес, подсеть или все адреса (Any).

11. Введите порт источника (Src. port) — один порт, диапазон портов или все порты (Any).

12. Введите назначение трафика (Destination) — IP-адрес, подсеть или все адреса (Any). Если указать подсеть, то правило будет действовать на все устройства в подсети.

13. Введите порт назначения (Dst. port) — один порт, диапазон портов или все порты (Any).

    Трафик на любой TCP/UDP-порт, заблокированный в Selectel по умолчанию, будет запрещен, даже если указать этот порт в правиле.

14. Введите имя правила или оставьте имя, созданное автоматически.

15. Опционально: введите комментарий для правила.

16. Нажмите Добавить.

Исходящий трафик

4. Откройте вкладку Исходящий трафик.

5. Нажмите Создать правило.

6. Выберите действие:

   • Allow — разрешить трафик;
   • Deny — отклонить трафик.

7. Если вам подходят шаблоны с правилами для исходящего трафика, выберите правило. Поля протокола, источника, портов источника, назначения трафика и порта назначения заполнятся автоматически. Перейдите на шаг 14.

8. Если подходящего шаблона нет, добавьте собственное правило для исходящего трафика.

9. Выберите протокол: ICMP, TCP, UDP или все протоколы (Any).

10. Введите источник трафика (Source) — IP-адрес, подсеть или все адреса (Any). Если указать подсеть, то правило будет действовать на все устройства в подсети.

11. Введите порт источника (Src. port) — один порт, диапазон портов или все порты (Any).

12. Введите назначение трафика (Destination) — IP-адрес, подсеть или все адреса (Any).

13. Введите порт назначения (Dst. port) — один порт, диапазон портов или все порты (Any).

    Трафик на любой TCP/UDP-порт, заблокированный в Selectel по умолчанию, будет запрещен, даже если указать этот порт в правиле.

14. Введите имя правила или оставьте имя, созданное автоматически.

15. Опционально: введите комментарий для правила.

16. Нажмите Добавить.

17. Проверьте порядок правил, они выполняются по порядку в списке — сверху вниз. При необходимости измените порядок — перетащите правила. После создания файрвола можно изменить порядок правил.

OpenStack CLI

1. Откройте OpenStack CLI.

2. Создайте правило:

   openstack firewall group rule create \
       --action <action> \
       --protocol <protocol> \
       [--source-ip-address <source_ip_address> | --no-source-ip-address] \
       [--source-port <source_port> | --no-source-port] \
       [--destination-ip-address <destination_ip_address> | --no-destination-ip-address] \
       [--destination-port <destination_port> | --no-destination-port]

   Укажите:

   • <action> — действие:

     • allow — разрешить трафик;
     • deny — отклонить трафик;

   • <protocol> — протокол:

     • icmp — ICMP;
     • tcp — TCP;
     • udp — UDP;
     • any — все протоколы;

   • источник трафика:

     • --source-ip-address <source_ip_address> — IP-адрес или подсеть. Если вы укажете подсеть и назначите это правило на политику для исходящего трафика, то правило будет действовать на все устройства в подсети;
     • --no-source-ip-address — все адреса (Any);

   • порт источника:

     • --source-port <source_port> — один порт или диапазон портов;
     • --no-source-port — все порты (Any);

   • назначение трафика:

     • --destination-ip-address <destination_ip_address> — IP-адрес или подсеть. Если вы укажете подсеть и назначите это правило на политику для входящего трафика, то правило будет действовать на все устройства в подсети;
     • --no-destination-ip-address — все адреса (Any);

   • порт назначения:

     • --destination-port <destination_port> — один порт или диапазон портов;
     • --no-destination-port — все порты (Any).

     Трафик на любой TCP/UDP-порт, заблокированный в Selectel по умолчанию, будет запрещен, даже если указать этот порт в правиле.

3. Добавьте правило в политику файрвола:

   openstack firewall group policy add rule \
       [--insert-before <firewall_rule>] \
       [--insert-after <firewall_rule>] \
       <firewall_policy> \
       <firewall_rule>

   Укажите:

   • --insert-before <firewall_rule> — ID или имя правила, перед которым добавится новое. Список можно посмотреть с помощью openstack firewall group rule list;
   • --insert-after <firewall_rule> — ID или имя правила, после которого добавится новое. Список можно посмотреть с помощью openstack firewall group rule list;
   • <firewall_policy> — ID или имя политики. Список можно посмотреть с помощью openstack firewall group policy list;
   • <firewall_rule> — ID или имя правила, которое добавится в политику. Список можно посмотреть с помощью openstack firewall group rule list.

Изменить правило⁠

осторожно

После изменения правила на облачном роутере прервутся активные сессии, которые соответствуют измененному правилу.

Панель управления

1. В панели управления перейдите в раздел Облачная платформа → Файрволы.

2. Откройте страницу файрвола.

3. Откройте вкладку в зависимости от того, для какого трафика нужно изменить правило:

   • для входящего трафика — Входящий трафик;
   • для исходящего трафика — Исходящий трафик.

4. В меню правила выберите Изменить правило.

Входящий трафик

5. Выберите действие:

   • Allow — разрешить трафик;
   • Deny — отклонить трафик.

6. Если вам подходят шаблоны с правилами для входящего трафика, выберите правило. Поля протокола, источника, портов источника, назначения трафика и порта назначения заполнятся автоматически. Перейдите на шаг 13.

7. Если подходящего шаблона нет, добавьте собственное правило для входящего трафика.

8. Выберите протокол: ICMP, TCP, UDP или все протоколы (Any).

9. Введите источник трафика (Source) — IP-адрес, подсеть или все адреса (Any).

10. Введите порт источника (Src. port) — один порт, диапазон портов или все порты (Any).

11. Введите назначение трафика (Destination) — IP-адрес, подсеть или все адреса (Any). Если указать подсеть, то правило будет действовать на все устройства в подсети.

12. Введите порт назначения (Dst. port) — один порт, диапазон портов или все порты (Any).

    Трафик на любой TCP/UDP-порт, заблокированный в Selectel по умолчанию, будет запрещен, даже если указать этот порт в правиле.

Исходящий трафик

5. Выберите действие:

   • Allow — разрешить трафик;
   • Deny — отклонить трафик.

6. Если вам подходят шаблоны с правилами для исходящего трафика, выберите правило. Поля протокола, источника, портов источника, назначения трафика и порта назначения заполнятся автоматически. Перейдите на шаг 13.

7. Если подходящего шаблона нет, добавьте собственное правило для исходящего трафика.

8. Выберите протокол: ICMP, TCP, UDP или все протоколы (Any).

9. Введите источник трафика (Source) — IP-адрес, подсеть или все адреса (Any). Если указать подсеть, то правило будет действовать на все устройства в подсети.

10. Введите порт источника (Src. port) — один порт, диапазон портов или все порты (Any).

11. Введите назначение трафика (Destination) — IP-адрес, подсеть или все адреса (Any).

12. Введите порт назначения (Dst. port) — один порт, диапазон портов или все порты (Any).

    Трафик на любой TCP/UDP-порт, заблокированный в Selectel по умолчанию, будет запрещен, даже если указать этот порт в правиле.

13. Введите имя правила или оставьте имя, созданное автоматически.
14. Опционально: введите комментарий для правила.
15. Нажмите Сохранить.

OpenStack CLI

1. Откройте OpenStack CLI.

2. Измените правило:

   openstack firewall group rule set \
       --action <action> \
       --protocol <protocol> \
       [--source-ip-address <source_ip_address> | --no-source-ip-address] \
       [--source-port <source_port> | --no-source-port] \
       [--destination-ip-address <destination_ip_address> | --no-destination-ip-address] \
       [--destination-port <destination_port> | --no-destination-port] \
       <firewall_rule>

   Укажите:

   • <action> — действие:

     • allow — разрешить трафик;
     • deny — отклонить трафик;

   • <protocol> — протокол:

     • icmp — ICMP;
     • tcp — TCP;
     • udp — UDP;
     • any — все протоколы;

   • источник трафика:

     • --source-ip-address <source_ip_address> — IP-адрес или подсеть. Если вы укажете подсеть и назначите это правило на политику для исходящего трафика, то правило будет действовать на все устройства в подсети;
     • --no-source-ip-address — все адреса (Any);

   • порт источника:

     • --source-port <source_port> — один порт или диапазон портов;
     • --no-source-port — все порты (Any);

   • назначение трафика:

     • --destination-ip-address <destination_ip_address> — IP-адрес или подсеть. Если вы укажете подсеть и назначите это правило на политику для входящего трафика, то правило будет действовать на все устройства в подсети;
     • --no-destination-ip-address — все адреса (Any);

   • порт назначения:

     • --destination-port <destination_port> — один порт или диапазон портов;
     • --no-destination-port — все порты (Any).

     Трафик на любой TCP/UDP-порт, заблокированный в Selectel по умолчанию, будет запрещен, даже если указать этот порт в правиле.

   • <firewall_rule> — ID или имя правила. Список можно посмотреть с помощью openstack firewall group rule list.

Изменить порядок правил⁠

осторожно

После изменения порядка правил на облачном роутере прервутся активные сессии, которые соответствуют новому порядку правил.

1. В панели управления перейдите в раздел Облачная платформа → Файрволы.

2. Откройте страницу файрвола.

3. Откройте вкладку в зависимости от того, для какого трафика нужно изменить порядок правил:

   • для входящего трафика — Входящий трафик;
   • для исходящего трафика — Исходящий трафик.

4. Нажмите Изменить порядок правил.

5. Перетащите правила. Правила выполняются по порядку в списке — сверху вниз.

6. Нажмите Сохранить порядок правил.

Включить правило⁠

Панель управления

1. В панели управления перейдите в раздел Облачная платформа → Файрволы.

2. Откройте страницу файрвола.

3. Откройте вкладку в зависимости от того, для какого трафика нужно включить правило:

   • для входящего трафика — Входящий трафик;
   • для исходящего трафика — Исходящий трафик.

4. В строке с правилом включите правило.

OpenStack CLI

1. Откройте OpenStack CLI.

2. Включите правило:

   openstack firewall group rule set --enable-rule <firewall_rule>

   Укажите <firewall_rule> — ID или имя правила. Список можно посмотреть с помощью openstack firewall group rule list. Чтобы удалить несколько правил, укажите их имена или ID через пробел.

Отключить правило⁠

осторожно

Правило перестанет действовать — трафик, который был разрешен этим правилом, будет запрещен. На облачном роутере прервутся активные сессии, которые были установлены по этому правилу.

Панель управления

1. В панели управления перейдите в раздел Облачная платформа → Файрволы.

2. Откройте страницу файрвола.

3. Откройте вкладку в зависимости от того, для какого трафика нужно отключить правило:

   • для входящего трафика — Входящий трафик;
   • для исходящего трафика — Исходящий трафик.

4. В строке с правилом отключите правило.

OpenStack CLI

1. Откройте OpenStack CLI.

2. Отключите правило:

   openstack firewall group rule set --disable-rule <firewall_rule>

   Укажите <firewall_rule> — ID или имя правила. Список можно посмотреть с помощью openstack firewall group rule list. Чтобы удалить несколько правил, укажите их имена или ID через пробел.

Удалить правило⁠

осторожно

Правило перестанет действовать — трафик, который был разрешен этим правилом, будет запрещен. На облачном роутере прервутся активные сессии, которые были установлены по этому правилу.

Панель управления

1. В панели управления перейдите в раздел Облачная платформа → Файрволы.

2. Откройте страницу файрвола.

3. Откройте вкладку в зависимости от того, для какого трафика нужно удалить правило:

   • для входящего трафика — Входящий трафик;
   • для исходящего трафика — Исходящий трафик.

4. В меню правила выберите Удалить правило.

5. Нажмите Удалить.

OpenStack CLI

1. Откройте OpenStack CLI.

2. Удалите правило:

   openstack firewall group rule delete <firewall_rule>

   Укажите <firewall_rule> — ID или имя правила. Список можно посмотреть с помощью openstack firewall group rule list. Чтобы удалить несколько правил, укажите их имена или ID через пробел.