Настройки firewall

Настройки firewall ("Группы безопасности" в Horizon) и группы правил — это наборы правил IP-фильтрации, которые устанавливают права сетевого доступа и применяются ко всем виртуальным машинам в проекте. В целях безопасности на всех создаваемых машинах удалены пароли, а вход возможен только по протоколу SSH. Необходимо добавить правила групп безопасности, чтобы разрешить пользователям использовать ping-запросы для виртуальных машин и подключаться к ним через SSH.

К каждой созданной машине по умолчанию добавляется группа «default». В нее правила лучше не добавлять. Создайте новую группу и добавьте в нее свои правила. Не забудьте подключить её к инстансу.

Добавление правил

Первым делом добавим правила, разрешающие доступ к виртуальным машинам по SSH и ICMP (для ping-запросов). Создаем для них отдельную группу. Также, не забудьте указать её при запуске инстанса.

Напоминаем, что первый вход на машину возможен только через ssh.

При создании правила в начале всегда указывается протокол, используемый с портом-адресатом или портом-источником.

MCS

  1. Зайдите в раздел личного кабинета "Настройки Firewall".  
  2. Нажмите "Добавить" для добавления новой группы правил или перейдите в ранее созданную группу:
  3. Нажмите "Добавить правило" и укажите нужные параметры правила: 


После добавления правил группу нужно добавить к инстансу. 

image

Нажмите «Добавить инстанс»
Выберите нужную виртуальную машину и нажмите «Добавить группу правил». Инстанс появится в списке этой группы:

image

В общем разделе «Настройки firewall» появится созданная группа.

Также в списке отображается количество инстансов, добавленных к этой группе, количество правил в ней и дата последнего изменения.
Чтобы зайти в настройки группы, нажмите на её имя или image. Для удаления нажмите на image.


В списке инстансов также можно посмотреть группы, которые к нему добавлены.
Для этого перейдите в раздел «Виртуальные машины» и напротив инстанса наведите на image.
image

В открывшемся окне можно управлять группами: перейти в их настройки, а также подключить или отключить группу от инстанса.
Ниже, можно увидеть сводную таблицу со всеми правилами, которые применены к инстансу. В ней учитываются все правила во всех группах, добавленных к виртуальной машине.

image

Horizon

  1. Войдите в панель администрирования.
  2. Перейдите «Проект» → «Сеть» → «Настройки firewall ("Группы безопасности" в Horizon)». Здесь перечислены группы правил, которые можно использовать в проекте.
  3. Выберите группу правил по умолчанию и нажмите «Управление правилами».
  4. Для разрешения доступа по SSH выберите «Добавить правило».
  5. В диалоговом окне «Добавить правило» введите следующие значения:
    • Правило SSH
    • Удаленный адресCIDR
    • CIDR 0.0.0.0/0

      Для того, чтобы принимать запросы от определенного диапазона IP-адресов, укажите блок IP-адресов в поле CIDR.


  6. Нажмите «Добавить». У виртуальных машин теперь будет открыт порт 22 (SSH) для получения запросов от любого IP-адреса.

Таким же образом добавьте правило для ICMP. В диалоговом окне «Добавить правило» введите следующие значения:

  • Правило Все ICMP
  • НаправлениеВходящий трафик
  • Удаленный адресCIDR
  • CIDR 0.0.0.0/0

Нажмите «Добавить». Виртуальные машины теперь будут принимать все входящие ICMP-пакеты.