Создать правило в группе безопасности
Вы можете:
- создать правила по одному — создать правило для входящего трафика или для исходящего трафика через панель управления или OpenStack CLI;
- массово добавить правила из файла — подготовить файл в формате
.json
с описанием необходимых правил и загрузить его в панель управления.
Через панель управления и добавление файла можно создать правило с протоколом TCP, UDP, ICMP или Any (все протоколы). Через OpenStack CLI можно создать правило с любым протоколом.
Вы также можете скопировать правила из одной группы безопасности в другую, для этого скопируйте группу безопасности.
Создать правило для входящего трафика
Панель управления
OpenStack CLI
-
В панели управления в верхнем меню нажмите Продукты и выберите Облачные серверы.
-
Перейдите в раздел Группы безопасности.
-
Откройте страницу группы безопасности.
-
Откройте вкладку Входящий трафик.
-
Нажмите Создать правило.
-
Если вам подходит один из шаблонов правил для входящего трафика, выберите шаблон из списка. Поля протокола, источника, портов источника, назначения трафика и порта назначения заполнятся автоматически.
-
Если шаблоны не подходят, укажите свои параметры правила:
7.1. Выберите протокол или нажмите Все протоколы.
7.2. Укажите источник трафика (Source):
- для трафика от IP-адреса или подсети — выберите CIDR и введите IP-адрес или подсеть, либо нажмите Все источники;
- для трафика от группы безопасности — выберите Группа безопасности и выберите группу. Доступны группы безопасности в том же пуле. Если вам нужно принимать трафик из другого пула, укажите CIDR источника.
7.3. Введите порт, на который разрешено принимать трафик (Dst. port) — один порт или диапазон портов, либо нажмите Все порты.
7.4. Опционально: введите комментарий для правила.
-
Нажмите Создать.
-
Создайте правило в группе:
openstack security group rule create \
--ingress \
[--remote-ip <remote_ip> | --remote-group <remote_group>] \
[--protocol <protocol>] \
[--dst-port <port_range>] \
<security_group>Укажите:
-
опционально: источник трафика, можно указать один или оба параметра. Если не указать источник, по умолчанию будет установлена подсеть
0.0.0.0/0
:--remote-ip <remote_ip>
— для приема трафика с IP-адреса. Параметр<remote_ip>
— IP-адрес или подсеть в формате CIDR;--remote-group <remote_group>
— для приема трафика от другой группы безопасности. Параметр<remote_group>
— ID или имя группы, можно посмотреть с помощью командыopenstack security group list
. Чтобы разрешить трафик внутри группы, укажите ее имя. Можно указать только группу в том же пуле, для трафика из другого пула используйте--remote-ip <remote_ip>
;
-
опционально:
--protocol <protocol>
— протокол. Параметр<protocol>
— название протокола из списка ниже. Если не указать параметр, будут разрешены любые протоколы:icmp
— ICMP;tcp
— TCP;udp
— UDP;ah
— AH;dccp
— DCCP;egp
— EGP;esp
— ESP;gre
— GRE;igmp
— IGMP;ipv6-encap
— IPv6-ENCAP;ipv6-frag
— IPv6-Frag;ipv6-icmp
— IPv6-ICMP;ipv6-nonxt
— IPv6-NoNxt;ipv6-opts
— IPv6-Opts;ipv6-route
— IPv6-Route;ospf
— OSPF;pgm
— PGM;rsvp
— RSVP;sctp
— SCTP;udplite
— UDP Lite;vrrp
— VRRP;ipip
— IP-in-IP;any
— любой протокол;
-
опционально:
--dst-port <port_range>
— порты сервера, на которые разрешено принимать трафик. Параметр<port_range>
— номер порта или диапазон портов, например137:139
. Укажите, если<protocol>
—tcp
,udp
илиany
.Трафик на любой TCP/UDP-порт, заблокированный в Selectel по умолчанию, будет запрещен, даже если указать этот порт в правиле;
-
<security_group>
— ID или имя группы безопасности, можно посмотреть с помощью командыopenstack security group list
.
-
-
Опционально: проверьте список правил в группе безопасности:
openstack security group rule list <security_group>
Укажите
<security_group>
— ID или имя группы безопасности, в которую добавили правило на шаге 2, можно посмотреть с помощью командыopenstack security group list
.
Создать правило для исходящего трафика
Панель управления
OpenStack CLI
-
В панели управления в верхнем меню нажмите Продукты и выберите Облачные серверы.
-
Перейдите в раздел Группы безопасности.
-
Откройте страницу группы безопасности.
-
Откройте вкладку Исходящий трафик.
-
Нажмите Создать правило.
-
Если вам подходит один из шаблонов правил для исходящего трафика, выберите шаблон из списка. Поля протокола, источника, портов источника, назначения трафика и порта назначения заполнятся автоматически.
-
Если шаблоны не подходят, укажите свои параметры правила:
7.1. Выберите протокол или нажмите Все протоколы.
7.2. Укажите назначение трафика (Destination):
- для трафика от IP-адреса или подсети — выберите CIDR и введите IP-адрес или подсеть либо нажмите Все источники;
- для трафика от группы безопасности — выберите Группа безопасности и выберите группу. Доступны группы безопасности в том же пуле. Если вам нужно отправлять трафик в другой пул, укажите CIDR источника.
7.3. Введите порт источника (Src. port) — один порт или диапазон портов либо нажмите Все порты.
7.4. Опционально: введите комментарий для правила.
-
Нажмите Создать.
-
Создайте правило в группе:
openstack security group rule create \
--egress \
[--remote-ip <remote_ip> | --remote-group <remote_group>] \
[--dst-port <port_range>] \
[--protocol <protocol>] \
<security_group>Укажите:
-
опционально: назначение трафика, можно указать один или оба параметра. Если не указать назначение, по умолчанию будет установлена подсеть
0.0.0.0/0
:--remote-ip <remote_ip>
— для отправки трафика на IP-адрес. Параметр<remote_ip>
— IP-адрес или подсеть в формате CIDR;--remote-group <remote_group>
— для отправки трафика в другую группу безопасности. Параметр<remote_group>
— ID или имя группы, можно посмотреть с помощью командыopenstack security group list
. Чтобы разрешить трафик внутри группы, укажите ее имя. Можно указать только группу в том же пуле, для трафика из другого пула используйте--remote-ip <remote_ip>
;
-
опционально:
--protocol <protocol>
— протокол. Параметр<protocol>
— название протокола из списка ниже. Если не указать параметр, будут разрешены любые протоколы:icmp
— ICMP;tcp
— TCP;udp
— UDP;ah
— AH;dccp
— DCCP;egp
— EGP;esp
— ESP;gre
— GRE;igmp
— IGMP;ipv6-encap
— IPv6-ENCAP;ipv6-frag
— IPv6-Frag;ipv6-icmp
— IPv6-ICMP;ipv6-nonxt
— IPv6-NoNxt;ipv6-opts
— IPv6-Opts;ipv6-route
— IPv6-Route;ospf
— OSPF;pgm
— PGM;rsvp
— RSVP;sctp
— SCTP;udplite
— UDP Lite;vrrp
— VRRP;ipip
— IP-in-IP;any
— любой протокол;
-
опционально:
--dst-port <port_range>
— порты сервера, с которых разрешено отправлять трафик. Параметр<port_range>
— номер порта или диапазон портов, например137:139
. Укажите, если<protocol>
—tcp
,udp
илиany
.Трафик на любой TCP/UDP-порт, заблокированный в Selectel по умолчанию, будет запрещен, даже если указать этот порт в правиле;
-
<security_group>
— ID или имя группы безопасности, можно посмотреть с помощью командыopenstack security group list
.
-
-
Опционально: проверьте список правил в группе безопасности:
openstack security group rule list <security_group>
Укажите
<security_group>
— ID или имя группы безопасности, в которую добавили правило на шаге 2, мо жно посмотреть с помощью командыopenstack security group list
.
Массово добавить правила из файла
1. Подготовить файл с описанием правил
-
В панели управления в верхнем меню нажмите Продукты и выберите Облачные серверы.
-
Перейдите в раздел Группы безопасности.
-
Откройте страницу группы безопасности.
-
В меню группы безопасности выберите Добавить правила из JSON.
-
Чтобы скачать шаблон файла, нажмите на ссылку в тексте.
-
Откройте файл в любом текстовом редакторе.
-
Отредактируйте содержимое файла — удалите или добавьте нужное количество блоков с правилами, для каждого правила укажите параметры:
-
direction
— направление трафика:ingress
для входящего трафика,egress
для исходящего; -
ethertype
— тип IP:IPv4
илиIPv6
; -
port_range_max
— последний порт в разрешенном диапазоне портов: число от 1 до 65 535. Если протокол правила —icmp
, вместо номера порта укажите тип ICMP. Чтобы разрешить все порты или типы ICMP, укажитеnull
; -
port_range_min
— первый порт в разрешенном диапазоне портов: число от 1 до 65 535. Если протокол правила —icmp
, вместо номера порта укажите тип ICMP. Чтобы разрешить все порты или типы ICMP, укажитеnull
; -
protocol
— название протокола:icmp
— ICMP;tcp
— TCP;udp
— UDP;any
илиnull
— любой протокол;
-
источник или назначение трафика — укажите один из параметров, для другого укажите
null
:remote_group_id
— ID группы безопасности, можно посм отреть в панели управления: в верхнем меню нажмите Продукты → Облачные серверы → Группы безопасности → в карточке группы нажмите . Можно указать только группу в том же пуле, для трафика из другого пула используйтеremote_ip_prefix
. Чтобы разрешить трафик от всех групп безопасности, укажитеnull
;remote_ip_prefix
— IP-адрес или подсеть в формате CIDR. Чтобы разрешить трафик от всех IP-адресов, укажитеnull
.
Если указать
null
для обоих параметров, будет разрешен весь трафик, соответствующий остальным параметрам правила.
-
-
Сохраните измененный файл.
2. Загрузить файл в панель управления
-
В панели управления в верхнем меню нажмите Продукты и выберите Облачные серверы.
-
Перейдите в раздел Группы безопасности.
-
Откройте страницу группы безопасности.
-
В меню группы безопасности выберите Добавить правила из JSON.
-
Выберите, каким способом добавить правила из файла к существующим правилам в группе:
- добавить новые правила к старым;
- или удалить старые правила и добавить новые.
-
Загрузите файл, который вы подготовили ранее, — перетащите его в поле загрузки или нажмите на поле загрузки и выберите файл.
-
Нажмите Добавить или Удалить и добавить.