Aktifkan FWaaS plug-in dalam file /etc/neutron/neutron.conf
:
service_plugins = firewall_v2
[service_providers]
# ...
service_provider = FIREWALL:Iptables:neutron.agent.linux.iptables_firewall.OVSHybridIptablesFirewallDriver:default
[fwaas]
agent_version = v2
driver = neutron_fwaas.services.firewall.drivers.linux.iptables_fwaas_v2.IptablesFwaasDriver
enabled = True
Catatan
Pada Ubuntu, memodifikasi bagian [fwaas]
dalam file /etc/neutron/fwaas_driver.ini
dari pada /etc/neutron/neutron.conf
.
Lakukan konfigurasi agen FWaaS plugin for the L3.
Dalam bagian AGENT
dari l3_agent.ini
, pastikan ekstensi FWaaS dimuat:
[AGENT]
extensions = fwaas
Buat tabel yang diperlukan dalam database:
# neutron-db-manage --subproject neutron-fwaas upgrade head
Restart layanan neutron-l3-agent
dan neutron-server
untuk menerapkan pengaturan.
Catatan
Firewall v2 is not supported by horizon yet.
Buat aturan firewall dan buat kebijakan yang berisi mereka. Kemudian, buat firewall yang memberlakukan kebijakan.
Buat aturan firewall:
$ neutron firewall-rule-create --protocol {tcp,udp,icmp,any} \
--source-ip-address SOURCE_IP_ADDRESS \
--destination-ip-address DESTINATION_IP_ADDRESS \
--source-port SOURCE_PORT_RANGE --destination-port DEST_PORT_RANGE \
--action {allow,deny,reject}
Klien Networking membutuhkan nilai protokol. Jika aturan ini adalah protokol agnostik, Anda dapat menggunakan nilai any
.
Catatan
Ketika sumber atau alamat IP tujuan adalah bukan dari versi IP yang sama (misalnya, IPv6), perintah akan mengembalikan suatu kesalahan.
Membuat kebijakan firewall:
$ neutron firewall-policy-create --firewall-rules \
"FIREWALL_RULE_IDS_OR_NAMES" myfirewallpolicy
Pisahkan ID aturan firewall atau nama dengan spasi. Urutan menjadi penting, dimana Anda menentukan aturan urutan itu.
Anda dapat membuat kebijakan firewall tanpa aturan dan menambahkan aturan kemudian, sebagai berikut:
Untuk lebih jelasnya, lihat Networking command-line client dalam OpenStack Command-Line Interface Reference.
Catatan
FWaaS selalu menambahkan default aturan deny all`
pada prioritas terendah dari setiap kebijakan. Akibatnya, kebijakan firewall tanpa aturan memblok semua lalu lintas secara default.
Buat firewall:
$ neutron firewall-create FIREWALL_POLICY_UUID
Catatan
firewall tetap dalam keadaan PENDING _CREATE sampai Anda membuat router Networking dan menghubungkan sebuah antarmuka untuk itu.
Except where otherwise noted, this document is licensed under Creative Commons Attribution 3.0 License. See all OpenStack Legal Documents.