Межсетевой экран

Настройки по умолчанию

Управление правилами межсетевого экрана находится в панели управления, раздел Сетевые настройки, подраздел Межсетевые экраны.

В OpenStack действует принцип настройки межсетевых правил — запрещено все, кроме прямо разрешенного. Поэтому, если удалить все межсетевые правила, входящие и исходящие подключения будут невозможны. Чтобы после создания виртуального сервера, вам было легче настроить сетевые подключения, мы добавили в межсетевой экран «default» правила по умолчанию.В целях безопасности, рекомендуем изменить правила после выполнения сетевых настроек на сервере.

Настройки межсетевого экрана «default»:

Разрешены:

  • Все входящие пинги

  • Все исходящие пинги

  • Все подключения по протоколам SSH, HTTP, HTTPS, DNS, RDP

Чтобы посмотреть и отредактировать настройки, перейдите в панель управления, раздел Сетевые настройки, подраздел Межсетевые экраны, напротив межсетевого экрана «Default» нажмите кнопку «Управление правилами» .

Создание межсетевого экрана

  • Перейдите в раздел Сетевые настройки, подраздел Межсетевые экраны, и нажмите кнопку «Создать межсетевой экран».

  • В открывшемся окне задайте имя и произвольное описание для межсетевого экрана. После нажмите кнопку «Создать межсетевой экран».

  • Межсетевой экран был успешно создан и отображается в обшем списке.

Настройка правил для межсетевого экрана

Перейдите в раздел Сетевые настройки, подраздел Межсетевые экраны, и нажмите кнопку «Управление правилами», чтобы отредактировать правила для межсетевого экрана.

В открывшемся окне отображаются все существующие правила. Здесь же можно удалить правило или добавить новое.
Можно задать только разрешающие правила(запрещено все, кроме прямо разрешенного).

Как добавить правило

  1. Нажмите кнопку «Добавить правило» для создания нового правила.

  2. Выберите в выпадающем списке «Правило» тип подключения, для которого вы хотите создать правило.

  3. Для некоторых протоколов необходимо выбрать направление разрешаемого трафика - входящий или исходящий.

  4. Для TCP и UDP правил вы можете открыть отдельный порт или диапазон портов. Выбор опции "Диапазон Портов" предоставит вам форму для ввода начального и конечного портов диапазона. Для ICMP правил вам необходимо будет указать ICMP тип и код в предоставленной форме.

  5. Укажите для каких адресов будет действовать правила. Адреса можно задать напрямую. Для этого в выпадающем списке «удаленный адрес» выберите способ задания правил CIDR. В открывшейся ниже форме пропишите IP-адреса или их диапазон.

  6. Нажмите кнопку «Добавить» чтобы создать правило.

Вы можете разрешить трафик для всех виртуальных серверов, у которых установлен определенный межсетевой экран.
Для этого в выпадающем списке «удаленный адрес» нужно выбрать «межсетевой экран» и затем в окне ниже - название межсетевого экрана. Пример:
Если вы выберите удаленный адрес — межсетевой экран «firewall-2», то разрешите трафик для всех виртуальных серверов, на которые установлен «firewall-2».