Skenario Firewall-as-a-Service (FWaaS) v2

updated: 2019-08-23 18:54
Contents

Skenario Firewall-as-a-Service (FWaaS) v2

Aktifkan FWaaS v2

  1. Aktifkan FWaaS plug-in dalam file /etc/neutron/neutron.conf:

    service_plugins = firewall_v2

[service_providers]
# ...
service_provider = FIREWALL:Iptables:neutron.agent.linux.iptables_firewall.OVSHybridIptablesFirewallDriver:default

[fwaas]
agent_version = v2
driver = neutron_fwaas.services.firewall.drivers.linux.iptables_fwaas_v2.IptablesFwaasDriver
enabled = True

    Catatan

    Pada Ubuntu, memodifikasi bagian [fwaas] dalam file /etc/neutron/fwaas_driver.ini dari pada /etc/neutron/neutron.conf.

  2. Lakukan konfigurasi agen FWaaS plugin for the L3.

    Dalam bagian AGENT dari l3_agent.ini, pastikan ekstensi FWaaS dimuat:

    [AGENT]
extensions = fwaas

  3. Buat tabel yang diperlukan dalam database:

    # neutron-db-manage --subproject neutron-fwaas upgrade head

  4. Restart layanan neutron-l3-agent dan neutron-server untuk menerapkan pengaturan.

    Catatan

    Firewall v2 is not supported by horizon yet.

Lakukan konfigurasi Firewall-as-a-Service v2

Buat aturan firewall dan buat kebijakan yang berisi mereka. Kemudian, buat firewall yang memberlakukan kebijakan.

  1. Buat aturan firewall:

    $ neutron firewall-rule-create --protocol {tcp,udp,icmp,any} \
  --source-ip-address SOURCE_IP_ADDRESS \
  --destination-ip-address DESTINATION_IP_ADDRESS \
  --source-port SOURCE_PORT_RANGE --destination-port DEST_PORT_RANGE \
  --action {allow,deny,reject}

    Klien Networking membutuhkan nilai protokol. Jika aturan ini adalah protokol agnostik, Anda dapat menggunakan nilai any.

    Catatan

    Ketika sumber atau alamat IP tujuan adalah bukan dari versi IP yang sama (misalnya, IPv6), perintah akan mengembalikan suatu kesalahan.

  2. Membuat kebijakan firewall:

    $ neutron firewall-policy-create --firewall-rules \
  "FIREWALL_RULE_IDS_OR_NAMES" myfirewallpolicy

    Pisahkan ID aturan firewall atau nama dengan spasi. Urutan menjadi penting, dimana Anda menentukan aturan urutan itu.

    Anda dapat membuat kebijakan firewall tanpa aturan dan menambahkan aturan kemudian, sebagai berikut:

    • Untuk menambahkan beberapa aturan (multiple rule), gunakan operasi update.
    • Untuk menambahkan aturan tunggal, gunakan operasi insert-rule.

    Untuk lebih jelasnya, lihat Networking command-line client dalam OpenStack Command-Line Interface Reference.

    Catatan

    FWaaS selalu menambahkan default aturan deny all` pada prioritas terendah dari setiap kebijakan. Akibatnya, kebijakan firewall tanpa aturan memblok semua lalu lintas secara default.

  3. Buat firewall:

    $ neutron firewall-create FIREWALL_POLICY_UUID

    Catatan

    firewall tetap dalam keadaan PENDING _CREATE sampai Anda membuat router Networking dan menghubungkan sebuah antarmuka untuk itu.

updated: 2019-08-23 18:54
Creative Commons Attribution 3.0 License

Except where otherwise noted, this document is licensed under Creative Commons Attribution 3.0 License. See all OpenStack Legal Documents.

found an error? report a bug questions?