FWaaS yönetim seçenekleri Gösterge Paneli’nde de mevcuttur.
/etc/neutron/neutron.conf
dosyasında FWaaS eklentisini etkinleştirin:
service_plugins = firewall
[service_providers]
# ...
service_provider = FIREWALL:Iptables:neutron.agent.linux.iptables_firewall.OVSHybridIptablesFirewallDriver:default
[fwaas]
driver = neutron_fwaas.services.firewall.drivers.linux.iptables_fwaas.IptablesFwaasDriver
enabled = True
Not
Ubuntu üzerinde, /etc/neutron/neutron.conf
yerine /etc/neutron/fwaas_driver.ini
dosyasındaki [fwaas]
bölümünü düzenleyin.
L3 ajanı için FWaaS eklentisini yapılandırın.
l3_agent.ini
dosyasının AGENT
bölümünde, FWaaS uzantısının yüklenmiş olduğundan emin olun:
[AGENT]
extensions = fwaas
Ajan sürümünü ve sürücüsünü belirtmek için /etc/neutron/neutron.conf
dosyasındaki FWaaS bölümünü düzenleyin:
[fwaas]
agent_version = v1
driver = iptables
enabled = True
conntrack_driver = conntrack
Veri tabanında gerekli tabloları oluşturun:
# neutron-db-manage --subproject neutron-fwaas upgrade head
Yerel ayarlar dosyasında (RHEL ve CentOS’ta local_settings
ve Ubuntu’da local_settings.py
adlı) güvenlik duvarı seçeneğini etkinleştirin):
OPENSTACK_NEUTRON_NETWORK = {
# ...
'enable_firewall' = True,
# ...
}
Not
Varsayılan olarak, enable_firewall
seçenek değeri yerel ayarlar dosyasında ``True``dir.
Ayarları uygulamak için neutron-l3-agent
ve neutron-server
servislerini yeniden başlatın.
Güvenlik duvarı kurallarını oluşturun ve bunları içeren bir ilke oluşturun. Ardından, ilkeyi uygulayan bir güvenlik duvarı oluşturun.
Bir güvenlik duvarı kuralı oluştur:
$ neutron firewall-rule-create --protocol {tcp,udp,icmp,any} \
--source-ip-address SOURCE_IP_ADDRESS \
--destination-ip-address DESTINATION_IP_ADDRESS \
--source-port SOURCE_PORT_RANGE --destination-port DEST_PORT_RANGE \
--action {allow,deny,reject}
Ağ istemcisi bir protokol değeri gerektirir. Eğer kural protokol bağımsızsa, any
değerini kullanabilirsiniz.
Not
Kaynak veya hedef IP adresi aynı IP sürümünden (örneğin, IPv6) değilse, komut bir hata döndürür.
Bir güvenlik duvarı politikası oluşturun:
$ neutron firewall-policy-create --firewall-rules \
"FIREWALL_RULE_IDS_OR_NAMES" myfirewallpolicy
Güvenlik duvarı kuralı kimliklerini veya adları boşluklarla ayırın. Kuralları belirtme sırası önemlidir.
Herhangi bir kural olmadan bir güvenlik duvarı ilkesi oluşturabilir ve daha sonra aşağıdaki gibi kurallar ekleyebilirsiniz:
Daha fazla detay için, OpenStack Komut Satırı Arayüz Kılavuzunda Ağ komut satırı istemcisi bölümüne bakınız.
Not
FWaaS her zaman her politikanın en düşük önceliğine deny all
kuralını varsayılan olarak ekler. Sonuç olarak, hiç kural içermeyen bir güvenlik duvarı politikası tüm trafiği varsayılan olarak engeller.
Bir güvenlik duvarı oluştur:
$ neutron firewall-create FIREWALL_POLICY_UUID
Not
Güvenlik duvarı, bir Ağ yönlendirici oluşturana ve ona bir arabirim ekleyene kadar PENDING_CREATE durumunda kalır.
Except where otherwise noted, this document is licensed under Creative Commons Attribution 3.0 License. See all OpenStack Legal Documents.