5.5 KiB
| title | description | published | date | tags | editor | dateCreated |
|---|---|---|---|---|---|---|
| Infomaniak Public Cloud - Groupes de sécurité | Gérer le firewall des ressources (ouverture de ports etc...) | true | 2021-11-05T09:16:05.944Z | openstack, public-cloud, cloud, ipc, firewall | markdown | 2021-11-05T08:42:27.428Z |
Introduction
Les groupes de sécurité sont des « firewalls » pour vos ressources. Ils possèdent plusieurs caractéristiques :
- Les groupes de sécurité sont STATEFUL par défaut
- Il n’est pas possible d’utiliser les groupes de sécurité pour bloquer une adresse IP ou un port spécifique
- Il n’est pas possible de créer des règles de blocage seulement des règles d’autorisation
Horizon
Créer un groupe de sécurité
Rendez vous dans la section Groupes de Sécurité sous Réseaux et cliquez sur + Créer un groupe de Sécurité
Nommez votre groupe de sécurité et cliquez sur Créer un Groupe de Sécurité
Créer une règle pour SSH (22)
Cliquez sur Ajouter une règle
Selectionnez le protocole, le(s) port(s) et son scope d'action puis cliquez sur Ajouter
Cette procédure est valable pour tous les ports TCP et UDP {.is-info}
Créer une règle pour PING (ICMP)
Cliquez sur Ajouter une règle
Selectionnez le protocol ALL ICMP et son scope d'action puis cliquez sur Ajouter
CLI
Documentation OpenStack
- 🔗 OpenStack Docs : security group Documentation officielle
- 🔗 OpenStack Docs : security group rule Documentation officielle {.links-list}
Créer un groupe de sécurité
openstack security group create [--description <DESCRIPTION>] <NAME>
--description DESCRIPTION
- Description pour le groupe de sécurité à créer
NAME
Nom du groupe de sécurité à créer
. {.is-info}
Créer une règle
openstack security group rule create
[--remote-ip <IP_ADDRESS> | --remote-group <GROUP>]
[--dst-port <PORT_RANGE>]
[--protocol <PROTOCOL>]
[--description <DESCRIPTION>]
[--icmp-type <ICMP_TYPE>]
[--icmp-code <ICMP_CODE>]
[--ingress | --egress]
[--ethertype <ETHERTYPE>]
<GROUP>
--remote-ip IP_ADDRESS
- Bloc d'adresse IP distante (Utilisez la notation CIDR : valeur par défaut pour la règle IPv4 :
0.0.0.0/0, valeur par défaut pour la règle IPv6 :::/0)--remote-group GROUP
- Nom ou ID du groupe de sécurité distant
--dst-port PORT_RANGE
- Le port de destination peut être un port unique ou une plage de ports :
137:139. Requis pour les protocoles IP TCP et UDP.--protocol PROTOCOL
- Protocole à utiliser (ICMP / TCP / UPD)
--description DESCRIPTION
- Définir la description de la règle du groupe de sécurité
--icmp-type ICMP_TYPE
- Type ICMP pour les protocoles IP ICMP
--icmp-code ICMP_CODE
- Code ICMP pour les protocoles IP ICMP
--ingress | --egress
- Appliquer la règle au trafic entrant ou sortant
--ethertype ETHERTYPE
- Ethertype de trafic réseau (IPv4, IPv6 ; par défaut : basé sur le protocole IP)
GROUP
Créer une règle dans ce groupe de sécurité (nom ou ID)
. {.is-info}
Exemple 1 : SSH (22)
openstack security group rule create --remote-ip 0.0.0.0/0 --dst-port 22 --protocol TCP --description SSH --ingress <GROUP>
Exemple 2 : PING (ICMP)
openstack security group rule create --remote-ip 0.0.0.0/0 --protocol ICMP --description PING --ingress <GROUP>
Lister les rèles
openstack security group rule list
[--protocol <PROTOCOL>]
[--ingress | --egress]
[<GROUP>]
--protocol PROTOCOL
- Filtrer par protocole (ICMP / TCP / UDP)
--ingress | --egress
- Filtrer par trafic entrant ou sortant
GROUP
Filtrer par groupe de sécurité
. {.is-info}
Afficher une règles
openstack security group rule show <RULE>
RULE
Nom ou ID de la règle à afficher
. {.is-info}
Supprimer une règle
openstack security group rule delete <RULE>
RULE
Nom ou ID de la règle à supprimer
. {.is-info}
Lister les groupes de sécurités
openstack security group list
Afficher un groupe de sécurité
openstack security group show <GROUP>
GROUP
Nom ou ID du groupe de sécurité à afficher
. {.is-info}
Lister un groupe de sécurité
openstack security group list
Supprimer un groupe de sécurité
openstack security group delete <GROUP>
GROUP
Nom ou ID du groupe de sécurité à supprimer
. {.is-info}