Firewall-as-a-Service (FWaaS) v1 シナリオ¶

/etc/neutron/neutron.conf ファイルにおいて FWaaS プラグインを有効化します。

service_plugins = firewall

[service_providers]
# ...
service_provider = FIREWALL:Iptables:neutron.agent.linux.iptables_firewall.OVSHybridIptablesFirewallDriver:default

[fwaas]
driver = neutron_fwaas.services.firewall.drivers.linux.iptables_fwaas.IptablesFwaasDriver
enabled = True

Configure the FWaaS plugin for the L3 agent.

In the AGENT section of l3_agent.ini, make sure the FWaaS extension is loaded:

[AGENT]
extensions = fwaas

Edit the FWaaS section in the /etc/neutron/neutron.conf file to indicate the agent version and driver:

[fwaas]
agent_version = v1
driver = iptables
enabled = True
conntrack_driver = conntrack

必要なテーブルをデータベースに作成します。

# neutron-db-manage --subproject neutron-fwaas upgrade head

Enable the firewall option in the local settings file (named local_settings on RHEL and CentOS, and local_settings.py on Ubuntu):

OPENSTACK_NEUTRON_NETWORK = {
    # ...
    'enable_firewall' = True,
    # ...
}

設定を適用するために``neutron-l3-agent`` と``neutron-server``を再起動します。

ファイアウォールのルールを作成します。

$ neutron firewall-rule-create --protocol {tcp,udp,icmp,any} \
  --source-ip-address SOURCE_IP_ADDRESS \
  --destination-ip-address DESTINATION_IP_ADDRESS \
  --source-port SOURCE_PORT_RANGE --destination-port DEST_PORT_RANGE \
  --action {allow,deny,reject}

The Networking client requires a protocol value. If the rule is protocol agnostic, you can use the any value.

ファイアウォールのポリシーを作成します。

$ neutron firewall-policy-create --firewall-rules \
  "FIREWALL_RULE_IDS_OR_NAMES" myfirewallpolicy

Separate firewall rule IDs or names with spaces. The order in which you specify the rules is important.

次のように、任意のルールなしで、ファイアウォールポリシーを作成し、後でルールを追加することができます。

• 複数のルールを追加するには、更新操作を使ってください。
• 単一のルールを追加するには、インサート・ルール操作を使ってください。

For more details, see Networking command-line client in the OpenStack Command-Line Interface Reference.

Create a firewall:

$ neutron firewall-create FIREWALL_POLICY_UUID