Servis olarak güvenlik duvarı (FWaaS) v2 senaryosu¶

FWaaS v2’yi etkinleştir¶

1. /etc/neutron/neutron.conf dosyasında FWaaS eklentisini etkinleştirin:

   service_plugins = firewall_v2
   
   [service_providers]
   # ...
   service_provider = FIREWALL:Iptables:neutron.agent.linux.iptables_firewall.OVSHybridIptablesFirewallDriver:default
   
   [fwaas]
   agent_version = v2
   driver = neutron_fwaas.services.firewall.drivers.linux.iptables_fwaas_v2.IptablesFwaasDriver
   enabled = True
   

   Not

   Ubuntu üzerinde, /etc/neutron/neutron.conf yerine /etc/neutron/fwaas_driver.ini dosyasındaki [fwaas] bölümünü düzenleyin.

2. L3 ajanı için FWaaS eklentisini yapılandırın.

   l3_agent.ini dosyasının AGENT bölümünde, FWaaS uzantısının yüklenmiş olduğundan emin olun:

   [AGENT]
   extensions = fwaas
   

3. Veri tabanında gerekli tabloları oluşturun:

   # neutron-db-manage --subproject neutron-fwaas upgrade head
   

4. Ayarları uygulamak için neutron-l3-agent ve neutron-server servislerini yeniden başlatın.

   Not

   Güvenlik duvarı v2 horizon tarafından henüz desteklenmiyor.

Hizmet Olarak Güvenlik Duvarı’nı yapılandır v2¶

Güvenlik duvarı kurallarını oluşturun ve bunları içeren bir ilke oluşturun. Ardından, ilkeyi uygulayan bir güvenlik duvarı oluşturun.

1. Bir güvenlik duvarı kuralı oluştur:

   $ neutron firewall-rule-create --protocol {tcp,udp,icmp,any} \
     --source-ip-address SOURCE_IP_ADDRESS \
     --destination-ip-address DESTINATION_IP_ADDRESS \
     --source-port SOURCE_PORT_RANGE --destination-port DEST_PORT_RANGE \
     --action {allow,deny,reject}
   

   Ağ istemcisi bir protokol değeri gerektirir. Eğer kural protokol bağımsızsa, any değerini kullanabilirsiniz.

   Not

   Kaynak veya hedef IP adresi aynı IP sürümünden (örneğin, IPv6) değilse, komut bir hata döndürür.

2. Bir güvenlik duvarı politikası oluşturun:

   $ neutron firewall-policy-create --firewall-rules \
     "FIREWALL_RULE_IDS_OR_NAMES" myfirewallpolicy
   

   Güvenlik duvarı kuralı kimliklerini veya adları boşluklarla ayırın. Kuralları belirtme sırası önemlidir.

   Herhangi bir kural olmadan bir güvenlik duvarı ilkesi oluşturabilir ve daha sonra aşağıdaki gibi kurallar ekleyebilirsiniz:

   • Birden fazla kural eklemek için, güncelle işlemini kullanın.
   • Tek bir kural eklemek için kural-ekle işlemini kullanın.

   Daha fazla detay için, OpenStack Komut Satırı Arayüz Kılavuzunda Ağ komut satırı istemcisi bölümüne bakınız.

   Not

   FWaaS her zaman her politikanın en düşük önceliğine deny all kuralını varsayılan olarak ekler. Sonuç olarak, hiç kural içermeyen bir güvenlik duvarı politikası tüm trafiği varsayılan olarak engeller.

3. Bir güvenlik duvarı oluştur:

   $ neutron firewall-create FIREWALL_POLICY_UUID
   

   Not

   Güvenlik duvarı, bir Ağ yönlendirici oluşturana ve ona bir arabirim ekleyene kadar PENDING_CREATE durumunda kalır.