Sgroup to Sgroup (ICMP)

Данный тип правил управляет обменом данными между различными группами безопасности. Он автоматически создает два правила на хостах: одно для исходящего трафика от инициирующей стороны и другое для входящего трафика от группы безопасности, к которой предоставлен доступ.

API

Более подробную документацию по API можно посмотреть здесь.
Более подробно по организации БД можно посмотреть здесь .

Входные параметры

• sgSgIcmpRules.rules[] - Структура, содержащая описание создаваемых правил.
• sgSgIcmpRules.rules[].sgFrom - Имя Security Group откуда уходит трафик (Egress)
• sgSgIcmpRules.rules[].sgTo - Имя Security Group куда приходит трафик (Ingress)
• sgSgIcmpRules.rules[].logs - Включить/отключить логирование.
• sgSgIcmpRules.rules[].trace - Включить/отключить трассировку.
• sgSgIcmpRules.rules[].ICMP - Структура, содержащая описание создаваемых правил типа ICMP.
• sgSgIcmpRules.rules[].ICMP.IPv - Версия IP для ICMP (IPv4 или IPv6).
• sgSgIcmpRules.rules[].ICMP.Types - Список, определяющий допустимые типы ICMP запросов.
• sgSgIcmpRules.rules[].action - Действие для пакетов в сформированных правил в цепочке.
• sgSgIcmpRules.rules[].priority - Структура, содержащая описание порядка применения правил в цепочке.
• syncOp - Поле определяющее действие с данными из запроса.

название	обязательность	тип данных	значение по умолчанию
				sgSgIcmpRules.rules[]	да	Object[]
sgSgIcmpRules.rules[].sgFrom	да	String
sgSgIcmpRules.rules[].sgTo	да	String
sgSgIcmpRules.rules[].logs	нет	Boolean	false
sgSgIcmpRules.rules[].trace	нет	Boolean	false
sgSgIcmpRules.rules[].ICMP	да	Object
sgSgIcmpRules.rules[].ICMP.IPv	да	Enum("IPv4", "IPv6")
sgSgIcmpRules.rules[].ICMP.Types	нет	Integer[]	[]
sgSgIcmpRules.rules[].action	да	Enum("ACCEPT", "DROP")
sgSgIcmpRules.rules[].priority	нет	Object
sgSgIcmpRules.rules[].priority.some	нет	Integer
syncOp	да	Enum("Delete", "Upsert", "FullSync")

Ограничения

• sgSgIcmpRules.rules[].sgFrom:

  • Длина значения не должна превышать 256 символов.
  • Значение должно начинаться и заканчиваться символами без пробелов.
  • Возможно указать только существующий Security Group.

• sgSgIcmpRules.rules[].sgTo:

  • Длина значения не должна превышать 256 символов.
  • Значение должно начинаться и заканчиваться символами без пробелов.
  • Возможно указать только существующий Security Group.

• sgSgIcmpRules.rules.ICMP.types[]:

  • Значения должны быть числами в диапазоне от 0 до 255.
  • Повторения значений в списке не допускаются.
  • Пустой массив разрешает все types
  • Принимает значения (число) в виде string || integer

• sgSgIcmpRules.rules[].priority.some:

  • Значения должны находиться в интервале от -32768 до 32767
  • Принимает значения (число) в виде string || integer

Пример использования

ICMP4

curl '127.0.0.1:9007/v2/sync' \
--header 'Content-Type: application/json' \
--data '{
  "sgSgIcmpRules": {
      "rules":[
          {
              "ICMP": {
                  "IPv": "IPv4",
                  "Types": [0, 8]
              },
              "sgFrom": "sg-0",
              "sgTo": "sg-1",
              "logs": true,
              "trace": true,
              "action": "DROP",
              "priority": {
                    "some": 500
                }
          }
      ]
  },
  "syncOp": "Upsert" 
}'

Выходные параметры

название	тип данных	описание
-	Object	в случае успеха возвращается пустое тело

Возможные ошибки API

Пользователь указал некорректные значения агрументов

• HTTP code: 400
• gRPC code: INVALID_ARGUMENT
• gRPC number: 3

Не найден метод

• HTTP code: 404
• gRPC code: NOT_FOUND
• gRPC number: 5

Ошибка в указанных данных

• HTTP code: 500
• gRPC code: INTERNAL
• gRPC number: 13

Диаграмма последовательности

ICMP6

curl '127.0.0.1:9007/v2/sync' \
--header 'Content-Type: application/json' \
--data '{
  "sgSgIcmpRules": {
      "rules":[
          {
              "ICMP": {
                  "IPv": "IPv6",
                  "Types": [0, 8]
              },
              "sgFrom": "sg-0",
              "sgTo": "sg-1",
              "logs": true,
              "trace": true,
              "action": "DROP",
              "priority": {
                    "some": "500"
                }
          }
      ]
  },
  "syncOp": "Upsert"
}'

Выходные параметры

название	тип данных	описание
-	Object	в случае успеха возвращается пустое тело

Возможные ошибки API

Пользователь указал некорректные значения агрументов

• HTTP code: 400
• gRPC code: INVALID_ARGUMENT
• gRPC number: 3

Не найден метод

• HTTP code: 404
• gRPC code: NOT_FOUND
• gRPC number: 5

Ошибка в указанных данных

• HTTP code: 500
• gRPC code: INTERNAL
• gRPC number: 13

Диаграмма последовательности

nftables

В этом разделе мы покажем, как правила фильтрации трафика, созданные с помощью Terraform и API, внедряются в настройки nftables. Это позволяет легко интегрировать сложные правила безопасности прямо в вашу систему фильтрации трафика.

• $Trace - Включить/отключить трассировку.
• $SrcSgroup - Имя Security Group
• $DstGroup - Имя Security Group
• $Transport - Протокол L3/L4 уровня модели OSI.
• $NftRuleType - Характеристика описывающая, что принимается трафик типа ip.
• $IcmpTypeList - Список, определяющий допустимые типы ICMP запросов.
• $NftCounter - Счетчик количества байтов и пакетов.
• $Log - Включить/отключить логирование.
• $NftRuleVerdict - Результат применения правила, определяющий действие, которое будет применено к пакету.
• $hostUUID - Уникальный идентификатор ресурса в формате UUID.

Области применения полей относительно используемого протокола

шаблон параметра	структура параметра	значения
			$hostUUID	UUID	Указывается UUID хоста, от которого исходит правило
$Trace	nftrace set	1 - трассировка включена 0 - трассировка выключена
$SrcSgroup	saddr	@${IPSet(sgName)}
$DstSgroup	daddr	@${IPSet(sgName)}
$Transport	icmp
$NftRuleType	ip
$IcmpTypeList	type {}	Набор целочисленных значений от 0 до 255
$NftCounter	counter	packets 0 bytes 0
$Log	log	level debug flags ip options
$NftRuleVerdict	accept	$NftRuleVerdict определяет действие, которое будет применено к пакету в соответсвии с правилом. Это поле может принимать значение accept или drop в зависимости от указанного в правиле. Подробнее: Verdict statement

Пример использования

ICMP

Шаблон

chain INGRESS-host-$hostUUID {
    # **********
    ${RuleType} ${SrcSgroup} ${Transport} ${TypeList} ${Trace} ${Counter} ${Log} ${Verdict}
    # **********
}

chain EGRESS-host-$hostUUID {
    # **********
    ${RuleType} ${DstSgroup} ${Transport} ${TypeList} ${Trace} ${Counter} ${Log} ${Verdict}
    # **********
}

Пример использования

chain INGRESS-host-7f32b49b-3943-467c-aa00-72387671cf88 {
    # **********
    ip saddr @NetIPv4-incloud-sgroups/example icmp type { echo-reply, echo-request } meta nftrace set 1 counter packets 0 bytes 0 log level debug flags ip options drop
    ip6 saddr @NetIPv6-incloud-sgroups/example icmpv6 type { 0, 8, 20, 100 } meta nftrace set 1 counter packets 0 bytes 0 log level debug flags ip options drop
    # **********
}

chain EGRESS-host-7f32b49b-3943-467c-aa00-72387671cf88 {
    # **********
    ip6 daddr @NetIPv6-incloud-sgroups/example icmpv6 type { 0, 8, 20, 100 } meta nftrace set 1 counter packets 0 bytes 0 log level debug flags ip options drop
    ip daddr @NetIPv4-incloud-sgroups/example icmp type { echo-reply, echo-request } meta nftrace set 1 counter packets 0 bytes 0 log level debug flags ip options drop
    # **********
}