Sgroup to Sgroup (Ingress/Egress) TCP/UDP
Ресурс Security Group to Security Group представляет собой введенную нами абстракцию, которая обеспечивает гибкое
управление и контроль сетевого трафика между разными группами безопасности, используя протоколы TCP, UDP. Этот ресурс
позволяет точно настраивать, какой трафик может передаваться между группами, обеспечивая таким образом высокий уровень
защиты и контроля в сетевой инфраструктуре.
- API
- nftables
Более подробную документацию по API можно посмотреть здесь.
Более подробно по организации БД можно посмотреть здесь
Входные параметры
ieSgSgRules.rules[]- Структура, содержащая описание создаваемых правил.ieSgSgRules.rules[].SG- Имя Security GroupieSgSgRules.rules[].sgLocal- Security Group относительно которой рассматриваются правила.ieSgSgRules.rules[].logs- Включить/отключить логирование.ieSgSgRules.rules[].trace- Включить/отключить трассировку.ieSgSgRules.rules[].ports- Блок описывающий набор пар портов (source-destination).ieSgSgRules.rules[].ports[].d- Набор открытых портов получателяieSgSgRules.rules[].ports[].s- Набор открытых портов отправителя.ieSgSgRules.rules[].traffic- Поле описывающий направление трафика.ieSgSgRules.rules[].transport- Протокол L3/L4 уровня модели OSI.ieSgSgRules.rules[].action- Действие для пакетов в сформированных правил в цепочке.ieSgSgRules.rules[].priority- Структура, содержащая описание порядка применения правил в цепочке.ieSgSgRules.rules[].priority.some- Поле, определяющее порядок применения правил в цепочке.syncOp- Поле определяющее действие с данными из запроса.
| название | обязательность | тип данных | значение по умолчанию |
|---|---|---|---|
| ieSgSgRules.rules[] | да | Object[] | |
| ieSgSgRules.rules[].SG | да | String | |
| ieSgSgRules.rules[].sgLocal | да | String | |
| ieSgSgRules.rules[].logs | нет | Boolean | false |
| ieSgSgRules.rules[].trace | нет | Boolean | false |
| ieSgSgRules.rules[].ports | нет | Object[] | [] |
| ieSgSgRules.rules[].ports[].d | да / нет (когда нет массива ports) | String | |
| ieSgSgRules.rules[].ports[].s | да / нет (когда нет массива ports) | String | |
| ieSgSgRules.rules[].traffic | да | Enum("Ingress", "Egress") | |
| ieSgSgRules.rules[].transport | нет | Enum("TCP", "UDP") | TCP |
| ieSgSgRules.rules[].action | да | ||
| ieSgSgRules.rules[].priority | нет | Object | |
| ieSgSgRules.rules[].priority.some | нет | Integer | |
| syncOp | да |
Ограничения
ieSgSgRules.rules[].SG:- Длина значения не должна превышать 256 символов.
- Значение должно начинаться и заканчиваться символами без пробелов.
- Возможно указать только существующий Security Group.
ieSgSgRules.rules[].sgLocal:- Длина значения не должна превышать 256 символов.
- Значение должно начинаться и заканчиваться символами без пробелов.
- Возможно указать только существующий Security Group.
ieSgSgRules.rules[].ports:- Source порты не должны пересекаться в разных пачках в рамках ресурса
- Source || destination порт обязателен для заполнения
ieSgSgRules.rules[].ports[].d:- Значения портов должно находиться в интервале от 1 до 65535.
- Если значение не будет указано то будет использоваться весь диапазон портов.
- Значения портов прописываются по одному или интервально используя '-'.
- Интервал прописывается от меньшего к большему (9090-1010)
- Допускаются пересечения портов destination для ресурса.
ieSgSgRules.rules[].ports[].s:- Значения портов должно находиться в интервале от 1 до 65535.
- Если значение не будет указано то будет использоваться весь диапазон портов.
- Значения портов прописываются по одному или интервально, используя '-'.
- Не допускаются пересечения портов для ресурса.
- Интервал прописывается от меньшего к большему (99-110)
Пример использования
- TCP
- UDP
Ingress
curl '127.0.0.1:9007/v2/sync' \
--header 'Content-Type: application/json' \
--data '{
"ieSgSgRules": {
"rules": [
{
"SG": "sg-2",
"sgLocal": "sg-3",
"logs": false,
"ports": [
{
"d": "50001",
"s": "51000"
},
{
"d": "50300",
"s": "52000"
}
],
"trace": true,
"traffic": "Ingress",
"transport": "TCP",
"action": "DROP",
"priority": {
"some": 350
}
}
]
},
"syncOp": "Upsert"
}'
Egress
curl '127.0.0.1:9007/v2/sync' \
--header 'Content-Type: application/json' \
--data '{
"ieSgSgRules": {
"rules": [
{
"SG": "sg-2",
"sgLocal": "sg-3",
"logs": false,
"ports": [
{
"d": "50001",
"s": "51000"
},
{
"d": "50300",
"s": "52000"
}
],
"trace": true,
"traffic": "Egress",
"transport": "TCP",
"action": "DROP",
"priority": {
"some": -350
}
}
]
},
"syncOp": "Upsert"
}'
Выходные параметры
| название | тип данных | описание |
|---|---|---|
| - | Object | в случае успеха возвращается пустое тело |
Возможные ошибки API
Пользователь указал некорректные значения агрументов
- HTTP code: 400
- gRPC code: INVALID_ARGUMENT
- gRPC number: 3
Ошибка в указанных данных
- HTTP code: 500
- gRPC code: INTERNAL
- gRPC number: 13
Не найден метод
- HTTP code: 404
- gRPC code: NOT_FOUND
- gRPC number: 5
Диаграмма последовательности
Ingress
curl '127.0.0.1:9007/v2/sync' \
--header 'Content-Type: application/json' \
--data '{
"ieSgSgRules": {
"rules": [
{
"SG": "sg-2",
"sgLocal": "sg-3",
"logs": false,
"ports": [
{
"d": "50001",
"s": "51000"
},
{
"d": "50300",
"s": "52000"
}
],
"trace": true,
"traffic": "Ingress",
"transport": "UDP",
"action": "DROP",
"priority": {
"some": -300
}
}
]
},
"syncOp": "FullSync"
}'
Egress
curl '127.0.0.1:9007/v2/sync' \
--header 'Content-Type: application/json' \
--data '{
"ieSgSgRules": {
"rules": [
{
"SG": "sg-2",
"sgLocal": "sg-3",
"logs": false,
"ports": [
{
"d": "50001",
"s": "51000"
},
{
"d": "50300",
"s": "52000"
}
],
"trace": true,
"traffic": "Egress",
"transport": "UDP",
"action": "DROP",
"priority": {
"some": 650
}
}
]
},
"syncOp": "FullSync"
}'
Выходные параметры
| название | тип данных | описание |
|---|---|---|
| - | Object | в случае успеха возвращается пустое тело |
Возможные ошибки API
Пользователь указал некорректные значения агрументов
- HTTP code: 400
- gRPC code: INVALID_ARGUMENT
- gRPC number: 3
Не найден метод
- HTTP code: 404
- gRPC code: NOT_FOUND
- gRPC number: 5
Ошибка в указанных данных
- HTTP code: 500
- gRPC code: INTERNAL
- gRPC number: 13
Диаграмма последовательности
В этом разделе мы покажем, как правила фильтрации трафика, созданные с помощью Terraform и API, внедряются в настройки nftables. Это позволяет легко интегрировать сложные правила безопасности прямо в вашу систему фильтрации трафика.
$Trace- Включить/отключить трассировку.$SrcSgroup- Имя Security Group$DstGroup- Имя Security Group$Transport- Протокол L3/L4 уровня модели OSI.$NftRuleType- Характеристика описывающая, что принимается трафик типа ip.$SrcPorts- Набор открытых портов отправителя.$DstPorts- Набор открытых портов получателя$NftCounter- Счетчик количества байтов и пакетов.$Log- Включить/отключить логирование.$NftRuleVerdict- Результат применения правила, определяющий действие, которое будет применено к пакету.$hostUUID- Уникальный идентификатор ресурса в формате UUID.
| шаблон параметра | структура параметра | значения |
|---|---|---|
| $Trace | nftrace set |
|
| $SrcSgroup | saddr | @${IPSet(sgName)} |
| $DstSgroup | daddr | @${IPSet(sgName)} |
| $Transport | tcp | udp | |
| $NftRuleType | ip | |
| $SrcPorts | sport {} | Набор целочисленных значений от 1 до 65535 |
| $DstPorts | dport {} | Набор целочисленных значений от 1 до 65535 |
| $NftCounter | counter | packets 0 bytes 0 |
| $Log | log | level debug flags ip options |
| $NftRuleVerdict | accept | $NftRuleVerdict определяет действие, которое будет применено к пакету в соответсвии с правилом. Это поле
может принимать значение |
| $hostUUID | UUID | Указывается UUID хоста, от которого исходит правило |
Пример использования
- TCP
- UDP
- ingress
- egress
Шаблон
chain INGRESS-host-$hostUUID {
# **********
$NftRuleType $SrcSgroup $Transport $SrcPorts $DstPorts $Trace $NftCounter $Log $NftRuleVerdict
# **********
}
Пример использования
chain INGRESS-host-7f32b49b-3943-467c-aa00-72387671cf88 {
# **********
ip saddr @NetIPv4-incloud-sgroups/example tcp dport 600-800 tcp sport 5678 meta nftrace set 1 counter packets 0 bytes 0 log level debug flags ip options drop
ip6 saddr @NetIPv6-incloud-sgroups/example tcp dport 600-800 tcp sport 5678 meta nftrace set 1 counter packets 0 bytes 0 log level debug flags ip options drop
# **********
}
Шаблон
chain EGRESS-host-$hostUUID {
# **********
$NftRuleType $DstSgroup $Transport $SrcPorts $DstPorts $Trace $NftCounter $Log $NftRuleVerdict
# **********
}
Пример использования
chain EGRESS-host-7f32b49b-3943-467c-aa00-72387671cf88 {
# **********
ip daddr @NetIPv4-incloud-sgroups/example tcp sport 5250 tcp dport 1000 meta nftrace set 1 counter packets 0 bytes 0 log level debug flags ip options drop
ip6 daddr @NetIPv6-incloud-sgroups/example tcp sport 5250 tcp dport 1000 meta nftrace set 1 counter packets 0 bytes 0 log level debug flags ip options drop
# **********
}
- ingress
- egress
Шаблон
chain INGRESS-host-$hostUUID {
# **********
$NftRuleType $SrcSgroup $Transport $SrcPorts $DstPorts $Trace $NftCounter $Log $NftRuleVerdict
# **********
}
Пример использования
chain INGRESS-host-7f32b49b-3943-467c-aa00-72387671cf88 {
# **********
ip saddr @NetIPv4-incloud-sgroups/example udp dport 600-800 udp sport 5678 meta nftrace set 1 counter packets 0 bytes 0 log level debug flags ip options drop
ip6 saddr @NetIPv6-incloud-sgroups/example udp dport 600-800 udp sport 5678 meta nftrace set 1 counter packets 0 bytes 0 log level debug flags ip options drop
# **********
}
Шаблон
chain EGRESS-host-$hostUUID {
# **********
$NftRuleType $DstSgroup $Transport $SrcPorts $DstPorts $Trace $NftCounter $Log $NftRuleVerdict
# **********
}
Пример использования
chain EGRESS-host-7f32b49b-3943-467c-aa00-72387671cf88 {
# **********
ip daddr @NetIPv4-incloud-sgroups/example udp sport 5250 udp dport 1000 meta nftrace set 1 counter packets 0 bytes 0 log level debug flags ip options drop
ip6 daddr @NetIPv6-incloud-sgroups/example udp sport 5250 udp dport 1000 meta nftrace set 1 counter packets 0 bytes 0 log level debug flags ip options drop
# **********
}