Создать правило в группе безопасности

Вы можете:

создать правила по одному — создать правило для входящего трафика или для исходящего трафика через панель управления или OpenStack CLI;
массово добавить правила из файла — подготовить файл в формате .json с описанием необходимых правил и загрузить его в панель управления.

Через панель управления и добавление файла можно создать правило с протоколом TCP, UDP, ICMP или Any (все протоколы). Через OpenStack CLI можно создать правило с любым протоколом.

Вы также можете скопировать правила из одной группы безопасности в другую, для этого скопируйте группу безопасности.

Создать правило для входящего трафика

Панель управления
OpenStack CLI

В панели управления в верхнем меню нажмите Продукты и выберите Облачные серверы.
Перейдите в раздел Группы безопасности.
Откройте страницу группы безопасности.
Откройте вкладку Входящий трафик.
Нажмите Создать правило.
Если вам подходит один из шаблонов правил для входящего трафика, выберите шаблон из списка. Поля протокола, источника, портов источника, назначения трафика и порта назначения заполнятся автоматически.
Если шаблоны не подходят, укажите свои параметры правила:

7.1. Выберите протокол или нажмите Все протоколы.

7.2. Укажите источник трафика (Source):
- для трафика от IP-адреса или подсети — выберите CIDR и введите IP-адрес или подсеть, либо нажмите Все источники;
- для трафика от группы безопасности — выберите Группа безопасности и выберите группу. Доступны группы безопасности в том же пуле. Если вам нужно принимать трафик из другого пула, укажите CIDR источника.
7.3. Введите порт, на который разрешено принимать трафик (Dst. port) — один порт или диапазон портов, либо нажмите Все порты.

7.4. Опционально: введите комментарий для правила.
Нажмите Создать.

Откройте OpenStack CLI.
Создайте правило в группе:
```
openstack security group rule create \
    --ingress \
    [--remote-ip <remote_ip> | --remote-group <remote_group>] \
    [--protocol <protocol>] \
    [--dst-port <port_range>] \
    <security_group>
```
Укажите:
- опционально: источник трафика, можно указать один или оба параметра. Если не указать источник, по умолчанию будет установлена подсеть 0.0.0.0/0:
  - --remote-ip <remote_ip> — для приема трафика с IP-адреса. Параметр <remote_ip> — IP-адрес или подсеть в формате CIDR;
  - --remote-group <remote_group> — для приема трафика от другой группы безопасности. Параметр <remote_group> — ID или имя группы, можно посмотреть с помощью команды openstack security group list. Чтобы разрешить трафик внутри группы, укажите ее имя. Можно указать только группу в том же пуле, для трафика из другого пула используйте --remote-ip <remote_ip>;
- опционально: --protocol <protocol> — протокол. Параметр <protocol> — название протокола из списка ниже. Если не указать параметр, будут разрешены любые протоколы:
  - icmp — ICMP;
  - tcp — TCP;
  - udp — UDP;
  - ah — AH;
  - dccp — DCCP;
  - egp — EGP;
  - esp — ESP;
  - gre — GRE;
  - igmp — IGMP;
  - ipv6-encap — IPv6-ENCAP;
  - ipv6-frag — IPv6-Frag;
  - ipv6-icmp — IPv6-ICMP;
  - ipv6-nonxt — IPv6-NoNxt;
  - ipv6-opts — IPv6-Opts;
  - ipv6-route — IPv6-Route;
  - ospf — OSPF;
  - pgm — PGM;
  - rsvp — RSVP;
  - sctp — SCTP;
  - udplite — UDP Lite;
  - vrrp — VRRP;
  - ipip — IP-in-IP;
  - any — любой протокол;
- опционально: --dst-port <port_range> — порты сервера, на которые разрешено принимать трафик. Параметр <port_range> — номер порта или диапазон портов, например 137:139. Укажите, если <protocol> — tcp, udp или any.
  
  Трафик на любой TCP/UDP-порт, заблокированный в Selectel по умолчанию, будет запрещен, даже если указать этот порт в правиле;
- <security_group> — ID или имя группы безопасности, можно посмотреть с помощью команды openstack security group list.
Опционально: проверьте список правил в группе безопасности:
```
openstack security group rule list <security_group>
```
Укажите <security_group> — ID или имя группы безопасности, в которую добавили правило на шаге 2, можно посмотреть с помощью команды openstack security group list.

Создать правило для исходящего трафика

Панель управления
OpenStack CLI

В панели управления в верхнем меню нажмите Продукты и выберите Облачные серверы.
Перейдите в раздел Группы безопасности.
Откройте страницу группы безопасности.
Откройте вкладку Исходящий трафик.
Нажмите Создать правило.
Если вам подходит один из шаблонов правил для исходящего трафика, выберите шаблон из списка. Поля протокола, источника, портов источника, назначения трафика и порта назначения заполнятся автоматически.
Если шаблоны не подходят, укажите свои параметры правила:

7.1. Выберите протокол или нажмите Все протоколы.

7.2. Укажите назначение трафика (Destination):
- для трафика от IP-адреса или подсети — выберите CIDR и введите IP-адрес или подсеть либо нажмите Все источники;
- для трафика от группы безопасности — выберите Группа безопасности и выберите группу. Доступны группы безопасности в том же пуле. Если вам нужно отправлять трафик в другой пул, укажите CIDR источника.
7.3. Введите порт источника (Src. port) — один порт или диапазон портов либо нажмите Все порты.

7.4. Опционально: введите комментарий для правила.
Нажмите Создать.

Откройте OpenStack CLI.
Создайте правило в группе:
```
openstack security group rule create \
    --egress \
    [--remote-ip <remote_ip> | --remote-group <remote_group>] \
    [--dst-port <port_range>] \
    [--protocol <protocol>] \
    <security_group>
```
Укажите:
- опционально: назначение трафика, можно указать один или оба параметра. Если не указать назначение, по умолчанию будет установлена подсеть 0.0.0.0/0:
  - --remote-ip <remote_ip> — для отправки трафика на IP-адрес. Параметр <remote_ip> — IP-адрес или подсеть в формате CIDR;
  - --remote-group <remote_group> — для отправки трафика в другую группу безопасности. Параметр <remote_group> — ID или имя группы, можно посмотреть с помощью команды openstack security group list. Чтобы разрешить трафик внутри группы, укажите ее имя. Можно указать только группу в том же пуле, для трафика из другого пула используйте --remote-ip <remote_ip>;
- опционально: --protocol <protocol> — протокол. Параметр <protocol> — название протокола из списка ниже. Если не указать параметр, будут разрешены любые протоколы:
  - icmp — ICMP;
  - tcp — TCP;
  - udp — UDP;
  - ah — AH;
  - dccp — DCCP;
  - egp — EGP;
  - esp — ESP;
  - gre — GRE;
  - igmp — IGMP;
  - ipv6-encap — IPv6-ENCAP;
  - ipv6-frag — IPv6-Frag;
  - ipv6-icmp — IPv6-ICMP;
  - ipv6-nonxt — IPv6-NoNxt;
  - ipv6-opts — IPv6-Opts;
  - ipv6-route — IPv6-Route;
  - ospf — OSPF;
  - pgm — PGM;
  - rsvp — RSVP;
  - sctp — SCTP;
  - udplite — UDP Lite;
  - vrrp — VRRP;
  - ipip — IP-in-IP;
  - any — любой протокол;
- опционально: --dst-port <port_range> — порты сервера, с которых разрешено отправлять трафик. Параметр <port_range> — номер порта или диапазон портов, например 137:139. Укажите, если <protocol> — tcp, udp или any.
  
  Трафик на любой TCP/UDP-порт, заблокированный в Selectel по умолчанию, будет запрещен, даже если указать этот порт в правиле;
- <security_group> — ID или имя группы безопасности, можно посмотреть с помощью команды openstack security group list.
Опционально: проверьте список правил в группе безопасности:
```
openstack security group rule list <security_group>
```
Укажите <security_group> — ID или имя группы безопасности, в которую добавили правило на шаге 2, можно посмотреть с помощью команды openstack security group list.

1. Подготовить файл с описанием правил

В панели управления в верхнем меню нажмите Продукты и выберите Облачные серверы.
Перейдите в раздел Группы безопасности.
Скачайте файл для редактирования:
- чтобы скачать файл с описанием правил, которые вы ранее создавали для другой группы безопасности, в меню нужной группы безопасности выберите Скачать JSON с правилами;
- чтобы скачать файл с шаблонами правил, в меню любой группы безопасности выберите Добавить правила из JSON и нажмите на ссылку в тексте.
Откройте скачанный файл в любом текстовом редакторе.
Отредактируйте содержимое файла — удалите или добавьте нужное количество блоков с правилами, для каждого правила укажите параметры:
- direction — направление трафика: ingress для входящего трафика, egress для исходящего;
- ethertype — тип IP: только IPv4;
- port_range_max — последний порт в разрешенном диапазоне портов: число от 1 до 65 535. Если протокол правила — icmp, вместо номера порта укажите тип ICMP. Чтобы разрешить все порты или типы ICMP, укажите null;
- port_range_min — первый порт в разрешенном диапазоне портов: число от 1 до 65 535. Если протокол правила — icmp, вместо номера порта укажите тип ICMP. Чтобы разрешить все порты или типы ICMP, укажите null;
- protocol — название протокола:
  - icmp — ICMP;
  - tcp — TCP;
  - udp — UDP;
  - any или null — любой протокол;
- источник или назначение трафика — укажите один из параметров, для другого укажите null:
  - remote_group_id — ID группы безопасности, можно посмотреть в панели управления: в верхнем меню нажмите Продукты → Облачные серверы → Группы безопасности → в карточке группы нажмите . Можно указать только группу в том же пуле, для трафика из другого пула используйте remote_ip_prefix. Чтобы разрешить трафик от всех групп безопасности, укажите null;
  - remote_ip_prefix — IP-адрес или подсеть в формате CIDR. Чтобы разрешить трафик от всех IP-адресов, укажите null.
  Если указать null для обоих параметров, будет разрешен весь трафик, соответствующий остальным параметрам правила.
Сохраните измененный файл.

2. Загрузить файл в панель управления

В панели управления в верхнем меню нажмите Продукты и выберите Облачные серверы.
Перейдите в раздел Группы безопасности.
В меню группы безопасности выберите Добавить правила из JSON.
Выберите, каким способом добавить правила из файла:
- добавить новые правила к старым;
- или удалить старые правила и добавить новые.
Загрузите файл, который вы подготовили ранее, — перетащите его в поле загрузки или нажмите на поле загрузки и выберите файл.
Нажмите Добавить или Удалить и добавить.