Skip to main content
Create a group
Last update:

Create a group

Along with the security group, it creates two default rules that allow all outbound traffic. You can remove these rules. To have the group allow incoming traffic, create rules in the group for incoming traffic.

  1. Open the OpenStack CLI.

  2. Create a security group:

    openstack security group create \
      [--description "<description>"] \
      [--stateless] \
      <security_group_name>

    Specify:

    • optional: --description "<description>" — description of the security group. Parameter <description>- description text;
    • optional: group mode — --stateful or --stateless. If you do not specify a mode, a stateful group will be created;
    • <security_group_name>- the name of the security team.

  3. Create a rule in the group:

    openstack security group rule create \
      --ingress \
      [--remote-ip <remote_ip> | --remote-group <remote_group>] \
      [--protocol <protocol>] \
      [--dst-port <port_range>] \
      <security_group>

    Specify:

    • optional: traffic source, you can specify one or both parameters. If you do not specify a source, the subnet will be set by default 0.0.0.0/0:

      • --remote-ip <remote_ip> — to receive traffic from an IP address. Parameter <remote_ip> — IP address or subnet in CIDR format;
      • --remote-group <remote_group> — to receive traffic from another security group. Parameter <remote_group> — ID or group name, can be viewed with the command openstack security group list. To allow traffic within a group, specify the group name. You can only specify a group in the same pool, for traffic from another pool use --remote-ip <remote_ip>;

    • optional: --protocol <protocol> — Protocol. Parameter <protocol> — protocol name from the list below. If you do not specify a parameter, any protocols will be allowed:

      • icmp — ICMP;
      • tcp — TCP;
      • udp — UDP;
      • ah — AH;
      • dccp — DCCP;
      • egp — EGP;
      • esp — ESP;
      • gre — GRE;
      • igmp — IGMP;
      • ipv6-encap — IPv6-ENCAP;
      • ipv6-frag — IPv6-Frag;
      • ipv6-icmp — IPv6-ICMP;
      • ipv6-nonxt — IPv6-NoNxt;
      • ipv6-opts — IPv6-Opts;
      • ipv6-route — IPv6-Route;
      • ospf — OSPF;
      • pgm — PGM;
      • rsvp — RSVP;
      • sctp — SCTP;
      • udplite — UDP Lite;
      • vrrp — VRRP;
      • ipip — IP-in-IP;
      • any — any protocol;

    • optional: --dst-port <port_range> — server ports on which it is allowed to receive traffic. Parameter <port_range> — port number or port range, e.g. 137:139. Indicate if <protocol> — tcp, udp or any.

      Traffic to any TCP/UDP port blocked in Selectel by default, will be denied even if you specify that port in the rule;

    • <security_group> — The ID or name of the security group you created in step 2 can be viewed using the command openstack security group list.

  4. Optional: create another rule in the group, to do this go back to step 3.

  5. Optional: check the list of rules in the security group:

    openstack security group rule list <security_group>

    Specify <security_group> — The ID or name of the security group you created in step 2 can be viewed using the command openstack security group list.