Sgroup to ICMP
Данный тип правил разрешает передачу ICMP сообщений для Security Group.
- API
- nftables
Более подробную документацию по API можно посмотреть здесь.
Более подробно по организации БД можно посмотреть здесь .
Входные параметры
sgIcmpRules.rules[]- Структура, содержащая описание создаваемых правил.sgIcmpRules.rules[].SG- Имя Security GroupsgIcmpRules.rules[].logs- Включить/отключить логирование.sgIcmpRules.rules[].trace- Включить/отключить трассировку.sgIcmpRules.rules[].ICMP- Структура, содержащая описание создаваемых правил типа ICMP.sgIcmpRules.rules[].ICMP.IPv- Версия IP для ICMP (IPv4 или IPv6).sgIcmpRules.rules[].ICMP.Types- Список, определяющий допустимые типы ICMP запросов.sgIcmpRules.rules[].action- Действие для пакетов в сформированных правил в цепочке.syncOp- Поле определяющее действие с данными из запроса.
| название | обязательность | тип данных | значение по умолчанию |
|---|---|---|---|
| sgIcmpRules.rules[] | да | Object[] | |
| sgIcmpRules.rules[].SG | да | String | |
| sgIcmpRules.rules[].logs | нет | Boolean | false |
| sgIcmpRules.rules[].trace | нет | Boolean | false |
| sgIcmpRules.rules[].ICMP | да | Object | |
| sgIcmpRules.rules[].ICMP.IPv | да | Enum("IPv4", "IPv6") | |
| sgIcmpRules.rules[].ICMP.Types | нет | Integer[] | [] |
| sgIcmpRules.rules[].action | да | ||
| syncOp | да |
Ограничения
sgIcmpRules.rules[].SG:- Длина значения не должна превышать 256 символов.
- Значение должно начинаться и заканчиваться символами без пробелов.
- Возможно указать только существующий Security Group.
sgIcmpRules.rules.ICMP.types[]:- Значения должны быть числами в диапазоне от 0 до 255.
- Повторения значений в списке не допускаются.
- Пустой массив разрешает все types
- Принимает значения (число) в виде string || integer
Пример использования
- ICMP4
- ICMP6
curl '127.0.0.1:9007/v2/sync' \
--header 'Content-Type: application/json' \
--data '{
"sgIcmpRules": {
"rules":[
{
"ICMP": {
"IPv": "IPv4",
"Types": [0, 8]
},
"SG": "sg-0",
"logs": false,
"trace": true,
"action": "DROP"
}
]
},
"syncOp": "Upsert"
}'
Выходные параметры
| название | тип данных | описание |
|---|---|---|
| - | Object | в случае успеха возвращается пустое тело |
Возможные ошибки API
Пользователь указал некорректные значения агрументов
- HTTP code: 400
- gRPC code: INVALID_ARGUMENT
- gRPC number: 3
Не найден метод
- HTTP code: 404
- gRPC code: NOT_FOUND
- gRPC number: 5
Ошибка в указанных данных
- HTTP code: 500
- gRPC code: INTERNAL
- gRPC number: 13
Диаграмма последовательности
curl '127.0.0.1:9007/v2/sync' \
--header 'Content-Type: application/json' \
--data '{
"sgIcmpRules": {
"rules":[
{
"ICMP": {
"IPv": "IPv6",
"Types": [0, 8, 18]
},
"SG": "sg-0",
"logs": false,
"trace": true,
"action": "DROP"
}
]
},
"syncOp": "Upsert"
}'
Выходные параметры
| название | тип данных | описание |
|---|---|---|
| - | Object | в случае успеха возвращается пустое тело |
Возможные ошибки API
Пользователь указал некорректные значения агрументов
- HTTP code: 400
- gRPC code: INVALID_ARGUMENT
- gRPC number: 3
Не найден метод
- HTTP code: 404
- gRPC code: NOT_FOUND
- gRPC number: 5
Ошибка в указанных данных
- HTTP code: 500
- gRPC code: INTERNAL
- gRPC number: 13
Диаграмма последовательности
В этом разделе мы покажем, как ресурс groups, созданный с помощью Terraform/API, внедряется в настройки nftables. В
контексте HBF мы интерпретируем ресурс groups как проекцию на ресурсы IPSet и Chains которые функционируют в
рамках инструмента nftables, обеспечивая более широкие возможности для управления подсетями и правилами.
$Trace- Включить/отключить трассировку.$Transport- Протокол L3/L4 уровня модели OSI.$TypeList- Список, определяющий допустимые типы ICMP запросов.$Log- Включить/отключить логир�ование.$Counter- Счетчик количества байтов и пакетов.$Verdict- Результат применения правила, определяющий действие, которое будет применено к пакету.$hostUUID- Уникальный идентификатор ресурса в формате UUID.
| шаблон параметра | структура параметра | значение |
|---|---|---|
| $Trace | nftrace set |
|
| $Transport | icmp | |
| $TypeList | type {} | Набор целочисленных значений от 0 до 255 |
| $Log | log | level debug flags ip options |
| $Counter | counter | packets 0 bytes 0 |
| $Verdict | accept | $Verdict определяет действие, которое будет применено к пакету в соответсвии с правилом. Это поле может
принимать значение |
| $hostUUID | UUID | Указывается UUID хоста, от которого исходит правило |
�Шаблон
chain INGRESS-host-$hostUUID {
# **********
$Transport $TypeList $Trace $Counter $Log $Verdict
# **********
}
chain EGRESS-host-$hostUUID {
# **********
$Transport $TypeList $Trace $Counter $Log $Verdict
# **********
}
Пример использования
chain INGRESS-INPUT-7f32b49b-3943-467c-aa00-72387671cf88 {
# **********
icmpv6 type { 0, 8, 18, 45, 55 } meta nftrace set 1 counter packets 0 bytes 0 log level debug flags ip options drop
icmp type { echo-reply, echo-request, address-mask-reply, 25 } meta nftrace set 1 counter packets 0 bytes 0 log level debug flags ip options drop
# **********
}
chain EGRESS-POSTROUTING-7f32b49b-3943-467c-aa00-72387671cf88 {
# **********
icmpv6 type { 0, 8, 18, 45, 55 } meta nftrace set 1 counter packets 0 bytes 0 log level debug flags ip options drop
icmp type { echo-reply, echo-request, address-mask-reply, 25 } meta nftrace set 1 counter packets 0 bytes 0 log level debug flags ip options drop
# **********
}