Создать группу

Создать группу

При создании группы вы можете добавить правила для входящего трафика, чтобы сразу разрешить его. Исходящий трафик по умолчанию разрешен — в группу автоматически добавляются два правила для исходящего трафика, которые нельзя изменить или удалить в ходе создания группы.

После создания группы вы можете удалить любые правила в ней, включая правила по умолчанию, и создать новые.

Через панель управления можно создать группу с режимом stateful и протоколами правил TCP, UDP, ICMP или Any (все протоколы). Через OpenStack CLI можно создать группу с режимом stateful или stateless И любым протоколом правил.

Панель управления

1. В панели управления в верхнем меню нажмите Продукты и выберите Облачные серверы.

2. Перейдите в раздел Группы безопасности.

3. Нажмите Создать группу безопасности.

4. Выберите пул, в котором будет создана группа. Ее можно будет назначить только на порты в этом же пуле.

5. Создайте правила для входящего трафика. Для этого в блоке Входящий трафик:

   5.1. Если вам подходит один из шаблонов правил для входящего трафика, нажмите на название шаблона. Поля протокола, источника, портов источника, назначения трафика и порта назначения заполнятся автоматически. Перейдите на шаг 6.

   5.2. Если шаблоны не подходят, добавьте собственное правило для входящего трафика. Нажмите Добавить правило входящего трафика.

   5.3. Выберите протокол или нажмите Все протоколы.

   5.4. Укажите источник трафика (Source):

   • для трафика от IP-адреса или подсети — выберите CIDR и введите IP-адрес или подсеть, либо нажмите Все источники;
   • для трафика от группы безопасности — выберите Группа безопасности и выберите группу. Доступны группы безопасности в том же пуле. Если вам нужно принимать трафик из другого пула, укажите CIDR источника.

   5.5. Введите порт, на который разрешено принимать трафик (Dst. port) — один порт или диапазон портов, либо нажмите Все порты.

   5.6. Опционально: введите комментарий для правила.

   5.7. Нажмите Добавить. После создания группы правило нельзя изменить, можно удалить правило и создать новое.

   5.8. Чтобы добавить еще одно правило, повторите шаги 5.2–5.7.

6. Опционально: в блоке Порты отметьте порты, на которые будет назначена группа безопасности. Доступны порты с включенной фильтрацией трафика (port security), которые не подключены к устройствам или подключены к облачному серверу. После создания группы на выбранных портах прервутся все активные сессии, которые не соответствуют правилам группы.

7. Введите имя группы или оставьте имя, созданное автоматически.

8. Опционально: введите комментарий для группы.

9. Нажмите Создать группу безопасности. Чтобы ограничить исходящий трафик, удалите правила по умолчанию и создайте новые.

OpenStack CLI

1. Откройте OpenStack CLI.

2. Создайте группу безопасности:

   openstack security group create \
       [--description "<description>"] \
       [--stateless] \
       <security_group_name>

   Укажите:

   • опционально: --description "<description>" — описание группы безопасности. Параметр <description> — текст описания;
   • опционально: режим группы — --stateful или --stateless. Если не указать режим, создастся stateful-группа;
   • <security_group_name> — имя группы безопасности.

3. Создайте правило в группе:

   Входящий трафик

   openstack security group rule create \
       --ingress \
       [--remote-ip <remote_ip> | --remote-group <remote_group>] \
       [--protocol <protocol>] \
       [--dst-port <port_range>] \
       <security_group>

   Укажите:

   • опционально: источник трафика, можно указать один или оба параметра. Если не указать источник, по умолчанию будет установлена подсеть 0.0.0.0/0:

     • --remote-ip <remote_ip> — для приема трафика с IP-адреса. Параметр <remote_ip> — IP-адрес или подсеть в формате CIDR;
     • --remote-group <remote_group> — для приема трафика от другой группы безопасности. Параметр <remote_group> — ID или имя группы, можно посмотреть с помощью команды openstack security group list. Чтобы разрешить трафик внутри группы, укажите ее имя. Можно указать только группу в том же пуле, для трафика из другого пула используйте --remote-ip <remote_ip>;

   • опционально: --protocol <protocol> — протокол. Параметр <protocol> — название протокола из списка ниже. Если не указать параметр, будут разрешены любые протоколы:

     • icmp — ICMP;
     • tcp — TCP;
     • udp — UDP;
     • ah — AH;
     • dccp — DCCP;
     • egp — EGP;
     • esp — ESP;
     • gre — GRE;
     • igmp — IGMP;
     • ipv6-encap — IPv6-ENCAP;
     • ipv6-frag — IPv6-Frag;
     • ipv6-icmp — IPv6-ICMP;
     • ipv6-nonxt — IPv6-NoNxt;
     • ipv6-opts — IPv6-Opts;
     • ipv6-route — IPv6-Route;
     • ospf — OSPF;
     • pgm — PGM;
     • rsvp — RSVP;
     • sctp — SCTP;
     • udplite — UDP Lite;
     • vrrp — VRRP;
     • ipip — IP-in-IP;
     • any — любой протокол;

   • опционально: --dst-port <port_range> — порты сервера, на которые разрешено принимать трафик. Параметр <port_range> — номер порта или диапазон портов, например 137:139. Укажите, если <protocol> — tcp, udp или any.

     Трафик на любой TCP/UDP-порт, заблокированный в Servercore по умолчанию, будет запрещен, даже если указать этот порт в правиле;

   • <security_group> — ID или имя группы безопасности, можно посмотреть с помощью команды openstack security group list.

   Исходящий трафик

   openstack security group rule create \
       --egress \
       [--remote-ip <remote_ip> | --remote-group <remote_group>] \
       [--dst-port <port_range>] \
       [--protocol <protocol>] \
       <security_group>

   Укажите:

   • опционально: назначение трафика, можно указать один или оба параметра. Если не указать назначение, по умолчанию будет установлена подсеть 0.0.0.0/0:

     • --remote-ip <remote_ip> — для отправки трафика на IP-адрес. Параметр <remote_ip> — IP-адрес или подсеть в формате CIDR;
     • --remote-group <remote_group> — для отправки трафика в другую группу безопасности. Параметр <remote_group> — ID или имя группы, можно посмотреть с помощью команды openstack security group list. Чтобы разрешить трафик внутри группы, укажите ее имя. Можно указать только группу в том же пуле, для трафика из другого пула используйте --remote-ip <remote_ip>;

   • опционально: --protocol <protocol> — протокол. Параметр <protocol> — название протокола из списка ниже. Если не указать параметр, будут разрешены любые протоколы:

     • icmp — ICMP;
     • tcp — TCP;
     • udp — UDP;
     • ah — AH;
     • dccp — DCCP;
     • egp — EGP;
     • esp — ESP;
     • gre — GRE;
     • igmp — IGMP;
     • ipv6-encap — IPv6-ENCAP;
     • ipv6-frag — IPv6-Frag;
     • ipv6-icmp — IPv6-ICMP;
     • ipv6-nonxt — IPv6-NoNxt;
     • ipv6-opts — IPv6-Opts;
     • ipv6-route — IPv6-Route;
     • ospf — OSPF;
     • pgm — PGM;
     • rsvp — RSVP;
     • sctp — SCTP;
     • udplite — UDP Lite;
     • vrrp — VRRP;
     • ipip — IP-in-IP;
     • any — любой протокол;

   • опционально: --dst-port <port_range> — порты сервера, с которых разрешено отправлять трафик. Параметр <port_range> — номер порта или диапазон портов, например 137:139. Укажите, если <protocol> — tcp, udp или any.

     Трафик на любой TCP/UDP-порт, заблокированный в Servercore по умолчанию, будет запрещен, даже если указать этот порт в правиле;

   • <security_group> — ID или имя группы безопасности, можно посмотреть с помощью команды openstack security group list.

4. Опционально: создайте в группе еще одно правило, для этого повторите шаг 3.

5. Опционально: проверьте список правил в группе безопасности:

   openstack security group rule list <security_group>

   Укажите <security_group> — ID или имя группы безопасности, которую вы создали на шаге 2, можно посмотреть с помощью команды openstack security group list.