Sgroup to Sgroup (TCP/UDP)
Данный тип правил управляет обменом данными между различными группами безопасности. Он автоматически создает два правила на хостах: одно для исходящего трафика от инициирующей стороны и другое для входящего трафика от группы безопасности, к которой предоставлен доступ.
- API
- nftables
Более подробную документацию по API можно посмотреть здесь.
Более подробно по организации БД можно посмотреть з�десь.
Входные параметры
sgSgRules.rules[]- Структура, содержащая описание создаваемых правил.sgSgRules.rules[].sgFrom- Имя Security Group откуда уходит трафик (Egress)sgSgRules.rules[].sgTo- Имя Security Group куда приходит трафик (Ingress)sgSgRules.rules[].logs- Включить/отключить логирование.sgSgRules.rules[].trace- Включить/отключить трассировку.sgSgRules.rules[].ports- Блок описывающий набор пар портов (source-destination).sgSgRules.rules[].ports[].d- Набор открытых портов получателяsgSgRules.rules[].ports[].s- Набор открытых портов отправителя.sgSgRules.rules[].transport- Протокол L3/L4 уровня модели OSI.sgSgRules.rules[].action- Действие для пакетов в сформированных правил в цепочке.sgSgRules.rules[].priority- Структура, содержащая описание порядка применения правил в цепочке.sgSgRules.rules[].priority.some- Поле, определяющее порядок применения правил в цепочке.syncOp- Поле �определяющее действие с данными из запроса.
| название | обязательность | тип данных | значение по умолчанию |
|---|---|---|---|
| sgSgRules.rules[] | да | Object[] | |
| sgSgRules.rules[].sgFrom | да | String | |
| sgSgRules.rules[].sgTo | да | String | |
| sgSgRules.rules[].logs | нет | Boolean | false |
| sgSgRules.rules[].trace | нет | Boolean | false |
| sgSgRules.rules[].ports | нет | Object[] | null |
| sgSgRules.rules[].ports[].d | нет | String | |
| sgSgRules.rules[].ports[].s | нет | String | |
| sgSgRules.rules[].transport | нет | Enum("TCP", "UDP") | TCP |
| sgSgRules.rules[].action | да | ||
| sgSgRules.rules[].priority | нет | Object | |
| sgSgRules.rules[].priority.some | нет | Integer | |
| syncOp | да |
Ограничения
sgSgRules.rules[].sgFrom:- Значение не может быть пустым.
- Длина значения поля не должна превышать 256 символов.
- Значение поля должно начинаться и заканчиваться символами без пробелов.
- Значение должно быть уникальным в рамках типа ресурса.
sgSgRules.rules[].sgTo:- Значение не может быть пустым.
- Длина значения поля не должна превышать 256 символов.
- Значение поля должно начинаться и заканчиваться символами без пробелов.
- Значение должно быть уникальным в рамках типа ресурса.
sgSgRules.rules[].ports:- Source порты не должны пересекаться в разных пачках в рамках ресурса
- Source || destination порт обязателен для заполнения
sgSgRules.rules[].ports[].d:- Значения портов должно находиться в интервале от 1 до 65535.
- Если значение не будет указано то будет использоваться весь диапазон портов.
- Значения портов прописываются по одному или интервально используя '-'.
- Интервал прописывается от меньшего к большему (9090-1010)
- Допускаются пересечения портов destination для ресурса.
sgSgRules.rules[].ports[].s:- Значения портов должно находиться в интервале от 1 до 65535.
- Если значение не будет указано то будет использоваться весь диапазон портов.
- Значения портов прописываются по одному или интервально, используя '-'.
- Не допускаются пересечения портов для ресурса.
- Интервал прописывается от меньшего к большему (99-110)
sgSgRules.rules[].priority.some:- Значения должны находиться в интервале от -32768 до 32767
- Принимает значения (число) в виде string || integer
Пример использования
- TCP
- UDP
curl '127.0.0.1:9007/v2/sync' \
--header 'Content-Type: application/json' \
--data '{
"sgSgRules": {
"rules": [
{
"ports": [
{
"s": "33-55",
"d": "5000"
},
{
"s": "144-166",
"d": "5010"
}
],
"sgFrom": "sg-1",
"sgTo": "sg-0",
"transport": "TCP",
"priority": {
"some": 0
},
"action": "DROP",
"logs": true
}
]
},
"syncOp": "Upsert"
}'
Выходные параметры
| название | тип данных | описание |
|---|---|---|
| - | Object | в случае успеха возвращается пустое тело |
Возможные ошибки API
Пользователь указал некорректные значения агрументов
- HTTP code: 400
- gRPC code: INVALID_ARGUMENT
- gRPC number: 3
Не найден метод
- HTTP code: 404
- gRPC code: NOT_FOUND
- gRPC number: 5
Ошибка в указанных данных
- HTTP code: 500
- gRPC code: INTERNAL
- gRPC number: 13
Диаграмма последовательности
curl '127.0.0.1:9007/v2/sync' \
--header 'Content-Type: application/json' \
--data '{
"sgSgRules": {
"rules": [
{
"ports": [
{
"s": "33-55",
"d": "5000"
},
{
"s": "144-166",
"d": "5010"
}
],
"sgFrom": "sg-1",
"sgTo": "sg-0",
"transport": "UDP",
"priority": {
"some": 0
},
"action": "DROP",
"logs": true
}
]
},
"syncOp": "Upsert"
}'
Выходные параметры
| название | тип данных | описание |
|---|---|---|
| - | Object | в случае успеха возвращается пустое тело |
Возможные ошибки API
Пользователь указал некорректные значения агрументов
- HTTP code: 400
- gRPC code: INVALID_ARGUMENT
- gRPC number: 3
Не найден метод
- HTTP code: 404
- gRPC code: NOT_FOUND
- gRPC number: 5
Ошибка в указанных данных
- HTTP code: 500
- gRPC code: INTERNAL
- gRPC number: 13
Диаграмма последовательности
В этом разделе мы покажем, как правила фильтрации трафика, созданные с помощью Terraform и API, внедряются в настройки nftables. Это позволяет легко интегрировать сложные правила безопасности прямо в вашу систему фильтрации трафика.
$SrcSgroup- Имя Security Group$DstGroup- Имя Security Group$Transport- Протокол L3/L4 уровня модели OSI.$NftRuleType- Характеристика описывающая, что принимается трафик типа ip.$SrcPorts- Набор открытых портов отправителя.$DstPorts- Набор открытых портов получателя$NftCounter- Счетчик количества байтов и пакетов.$Log- Включить/отключить логирование.$NftRuleVerdict- Результат применения правила, определяющий действие, которое будет применено к пакету.$hostUUID- Уникальный идентификатор ресурса в формате UUID.
| шаблон параметра | структура параметра | значения |
|---|---|---|
| $hostUUID | UUID | Указывается UUID хоста, от которого исходит правило |
| $SrcSgroup | saddr | @${IPSet(sgName)} |
| $DstSgroup | daddr | @${IPSet(sgName)} |
| $Transport | tcp | udp | |
| $NftRuleType | ip | |
| $IcmpTypeList | type {} | Набор целочисленных значений от 0 до 255 |
| $SrcPorts | sport {} | Набор целочисленных значений от 0 до 65535 |
| $DstPorts | dport {} | Набор целочисленных значений от 0 до 65535 |
| $NftCounter | counter | packets 0 bytes 0 |
| $Log | log | level debug flags ip options |
| $NftRuleVerdict | accept | $NftRuleVerdict определяет действие, которое будет применено к пакету в соответсвии с правилом. Это поле
может принимать значение |
Пример использования
- TCP
- UDP
Шаблон
chain INGRESS-host-$hostUUID {
# **********
${RuleType} ${SrcSgroup} ${Transport} ${DstPorts} ${SrcPorts} ${Counter} ${Log} ${Verdict}
# **********
}
chain EGRESS-host-$hostUUID {
# **********
${RuleType} ${DstSgroup} ${Transport} ${SrcPorts} ${DstPorts} ${Counter} ${Log} ${Verdict}
# **********
}
Пример использования
chain INGRESS-host-7f32b49b-3943-467c-aa00-72387671cf88 {
# **********
ip saddr @NetIPv4-incloud-sgroups/example tcp dport 40000-45000 tcp sport 50000 counter packets 0 bytes 0 log level debug flags ip options drop
ip6 saddr @NetIPv6-incloud-sgroups/example tcp dport 40000-45000 tcp sport 50000 counter packets 0 bytes 0 log level debug flags ip options drop
# **********
}
chain EGRESS-host-7f32b49b-3943-467c-aa00-72387671cf88 {
# **********
ip daddr @NetIPv4-incloud-sgroups/example tcp sport 50000 tcp dport 40000-45000 counter packets 0 bytes 0 log level debug flags ip options drop
ip6 daddr @NetIPv6-incloud-sgroups/example tcp sport 50000 tcp dport 40000-45000 counter packets 0 bytes 0 log level debug flags ip options drop
# **********
}
Шаблон
chain INGRESS-host-$hostUUID {
# **********
${RuleType} ${SrcSgroup} ${Transport} ${SrcPorts} ${DstPorts} ${Counter} ${Log} ${Verdict}
# **********
}
chain EGRESS-host-$hostUUID {
# **********
${RuleType} ${DstSgroup} ${Transport} ${SrcPorts} ${DstPorts} ${Counter} ${Log} ${Verdict}
# **********
}
Пример использования
chain INGRESS-host-7f32b49b-3943-467c-aa00-72387671cf88 {
# **********
ip saddr @NetIPv4-incloud-sgroups/example udp dport 40000-45000 udp sport 50000 counter packets 0 bytes 0 log level debug flags ip options drop
ip6 saddr @NetIPv6-incloud-sgroups/example udp dport 40000-45000 udp sport 50000 counter packets 0 bytes 0 log level debug flags ip options drop
# **********
}
chain EGRESS-host-7f32b49b-3943-467c-aa00-72387671cf88 {
# **********
ip daddr @NetIPv4-incloud-sgroups/example udp sport 50000 udp dport 40000-45000 counter packets 0 bytes 0 log level debug flags ip options drop
ip6 daddr @NetIPv6-incloud-sgroups/example udp sport 50000 udp dport 40000-45000 counter packets 0 bytes 0 log level debug flags ip options drop
# **********
}