Настройки Firewall в панели MCS

Настройки firewall ("Группы безопасности" в Horizon) и группы правил — это наборы правил IP-фильтрации, которые устанавливают права сетевого доступа и применяются ко всем виртуальным машинам в проекте. В целях безопасности на всех создаваемых машинах удалены пароли, а вход возможен только по протоколу SSH. Необходимо добавить правила групп безопасности, чтобы разрешить пользователям использовать ping-запросы для виртуальных машин и подключаться к ним через SSH.

К каждой созданной машине по умолчанию добавляется группа «default». В нее правила лучше не добавлять. Создайте новую группу и добавьте в нее свои правила. Не забудьте подключить её к инстансу.

Добавление правил

Первым делом добавим правила, разрешающие доступ к виртуальным машинам по SSH и ICMP (для ping-запросов). Создаем для них отдельную группу. Также, не забудьте указать её при запуске инстанса.

Напоминаем, что первый вход на Linux-машину возможен только через ssh.

При создании правила в начале всегда указывается протокол, используемый с портом-адресатом или портом-источником.

MCS

  1. Зайдите в раздел личного кабинета "Настройки Firewall".  
  2. Нажмите "Добавить" для добавления новой группы правил или перейдите в ранее созданную группу:
  3. Нажмите "Добавить правило" и укажите нужные параметры правила: 

После добавления всех нужных вам правил группу правил нужно добавить к инстансу. Для этого нажмите ссылку «Добавить виртуальную машину».

Выберите нужную виртуальную машину (или несколько) и нажмите «Добавить группу правил»:

Инстанс появится в списке этой группы:


В общем разделе «Настройки firewall» появится созданная группа.

Также в списке отображается количество инстансов, добавленных к этой группе, количество правил в ней и дата последнего изменения.
Чтобы зайти в настройки группы, нажмите на её имя или image. Для удаления нажмите на image.

В списке инстансов также можно посмотреть группы, которые к нему добавлены.
Для этого перейдите в раздел «Виртуальные машины» и напротив инстанса наведите на image.
В открывшемся окне можно управлять группами: перейти в их настройки, а также подключить или отключить группу от инстанса. Опция "Применить к инстанс" появляется при наведении на контекстное меню группы правил:


Ниже можно увидеть сводную таблицу со всеми правилами, которые применены к инстансу. В ней учитываются все правила во всех группах, добавленных к виртуальной машине.

Horizon

  1. Войдите в панель администрирования.
  2. Перейдите «Проект» → «Сеть» → «Настройки firewall ("Группы безопасности" в Horizon)». Здесь перечислены группы правил, которые можно использовать в проекте.
  3. Выберите группу правил по умолчанию и нажмите «Управление правилами».
  4. Для разрешения доступа по SSH выберите «Добавить правило».
  5. В диалоговом окне «Добавить правило» введите следующие значения:
    • Правило SSH
    • Удаленный адресCIDR
    • CIDR 0.0.0.0/0

      Для того, чтобы принимать запросы от определенного диапазона IP-адресов, укажите блок IP-адресов в поле CIDR.


  6. Нажмите «Добавить». У виртуальных машин теперь будет открыт порт 22 (SSH) для получения запросов от любого IP-адреса.

Таким же образом добавьте правило для ICMP. В диалоговом окне «Добавить правило» введите следующие значения:

  • Правило Все ICMP
  • НаправлениеВходящий трафик
  • Удаленный адресCIDR
  • CIDR 0.0.0.0/0

Нажмите «Добавить». Виртуальные машины теперь будут принимать все входящие ICMP-пакеты.