Service to FQDN

Ресурс Service to FQDN представляет собой введенную нами абстракцию, которая обеспечивает гибкое управление и контроль за сетевым трафиком между различными сервисами и IP адресами стоящие за FQDN записями, используя TCP, UDP протоколы. Этот ресурс дает возможность детально настроить, какой трафик разрешен к передаче между сервисами и IP адресами стоящие за определенными FQDN записями, тем самым гарантируя высокий уровень защиты и управления сетевой инфраструктурой

API

Более подробную документацию по API можно посмотреть здесь.
Более подробно по организации БД можно посмотреть здесь.

Входные параметры

• svcFqdnRules.rules[] - Список описываемых правил.
• svcFqdnRules.rules[].name - Имя правила.
• svcFqdnRules.rules[].svcFrom - Имя сервиса откуда уходит трафик
• svcFqdnRules.rules[].FQDN - Полное доменное имя (FQDN), для которого применяется данное правило.
• svcFqdnRules.rules[].logs - Включить/отключить логирование.
• svcFqdnRules.rules[].ports - Блок описывающий набор пар портов (source-destination).
• svcFqdnRules.rules[].ports[].d - Набор открытых портов получателя
• svcFqdnRules.rules[].ports[].s - Набор открытых портов отправителя.
• svcFqdnRules.rules[].trace - Включить/отключить трассировку.
• svcFqdnRules.rules[].transport - Протокол L3/L4 уровня модели OSI.
• svcFqdnRules.rules[].action - Действие для пакетов в сформированных правил в цепочке.
• svcFqdnRules.rules[].priority - Структура, содержащая описание порядка применения правил в цепочке.
• svcFqdnRules.rules[].priority.some - Поле, определяющее порядок применения правил в цепочке.
• syncOp - Поле определяющее действие с данными из запроса.

название	обязательность	тип данных	значение по умолчанию
svcFqdnRules.rules[]	да	Object[]
svcFqdnRules.rules[].name	да	String
serviceRules.rules[].svcFrom	да	String
svcFqdnRules.rules[].FQDN	да	String
svcFqdnRules.rules[].ports	нет	Object[]
svcFqdnRules.rules[].ports[].d	да/нет, если нет ports[]	String
svcFqdnRules.rules[].ports[].s	да/нет, если нет ports[]	String
svcFqdnRules.rules[].transport	да	Enum("TCP", "UDP")
svcFqdnRules.rules[].logs	нет	Boolean	false
svcFqdnRules.rules[].trace	нет	Boolean	false
svcFqdnRules.rules[].action	да	Enum("ACCEPT", "DROP")
svcFqdnRules.rules[].priority	нет	Object	-350
svcFqdnRules.rules[].priority.some	нет	Integer | String	-350
syncOp	да	Enum("Delete", "Upsert", "FullSync")

Ограничения

• svcFqdnRules.rules[].svcFrom:

  • Длина значения не должна превышать 256 символов.
  • Значение должно начинаться и заканчиваться символами без пробелов.
  • Значение не может быть пустой строкой
  • Возможно указать только существующий Service.

• svcFqdnRules.rules[].FQDN:

  • Длина значения поля не должна превышать 256 символов.
  • Значение поля должно начинаться и заканчиваться символами без пробелов.
  • Значение не может быть пустым
  • FQDN должен соответствовать формату записи, определенному в RFC 1034, 1035, 1123.

• svcFqdnRules.rules[].ports:

  • Source порты не должны пересекаться в разных пачках в рамках ресурса
  • Source || destination порт обязателен для заполнения

• svcFqdnRules.rules[].ports[].d:

  • Значения портов должно находиться в интервале от 1 до 65535.
  • Если значение не будет указано то будет использоваться весь диапазон портов.
  • Значения портов прописываются по одному или интервально используя '-'.
  • Интервал прописывается от меньшего к большему (9090-1010)
  • Допускаются пересечения портов destination для ресурса.

• svcFqdnRules.rules[].ports[].s:

  • Значения портов должно находиться в интервале от 1 до 65535.
  • Если значение не будет указано то будет использоваться весь диапазон портов.
  • Значения портов прописываются по одному или интервально, используя '-'.
  • Не допускаются пересечения портов для ресурса.
  • Интервал прописывается от меньшего к большему (99-110)

• svcFqdnRules.rules[].priority.some:

  • Значения должны находиться в интервале от -32768 до 32767
  • Принимает значения (число) в виде string || integer

Пример использования

curl '127.0.0.1:9007/v2/sync' \
--header 'Content-Type: application/json' \
--data '{
    "svcFqdnRules": {
        "rules": [
            {
                "name": "svc-fqdn-0",
                "FQDN": "google.com",
                "action": "DROP",
                "logs": true,
                "ports": [
                    {
                        "d": "61234-62756, 62765",
                        "s": "62234-63756, 63765"
                    }
                ],
                "priority": {
                    "some": 3232
                },
                "svcFrom": "add-svc-0",
                "trace": true,
                "transport": "TCP"
            }
        ],
        "syncOp": "Upsert"
    }
}'

Выходные параметры

название	тип данных	описание
-	Object	в случае успеха возвращается пустое тело

Возможные ошибки API

Пользователь указал некорректные значения агрументов

• HTTP code: 400
• gRPC code: INVALID_ARGUMENT
• gRPC number: 3

Не найден метод

• HTTP code: 404
• gRPC code: NOT_FOUND
• gRPC number: 5

Ошибка в указанных данных

• HTTP code: 500
• gRPC code: INTERNAL
• gRPC number: 13

Диаграмма последовательности

nftables

В этом разделе мы покажем, как правила фильтрации трафика, созданные с помощью API, внедряются в настройки nftables. Это позволяет легко интегрировать сложные правила безопасности прямо в вашу систему фильтрации трафика.

• $Trace - Включить/отключить трассировку.
• $hostUUID - Уникальный идентификатор ресурса в формате UUID.
• $DstFQDN - Полное доменное имя (FQDN), для которого применяется данное правило.
• $Transport - Протокол L3/L4 уровня модели OSI.
• $NftRuleType - Характеристика описывающая, что принимается трафик типа ip.
• $DstPorts - Набор открытых портов получателя
• $NftCounter - Счетчик количества байтов и пакетов.
• $Log - Включить/отключить логирование.
• $NftRuleVerdict - Результат применения правила, определяющий действие, которое будет применено к пакету.

шаблон параметра	структура параметра	значение	описание
${Trace}	nftrace set	1 - трассировка включена 0 - трассировка выключена	Трассировка указанного правила (опциональна, можно включить/выключить)
${hostUUID}	UUID	Указывается UUID хоста, от которого исходит правило	Значение UUID хоста
${DstFQDN}	saddr @${@NetIPv4(fqdn)}	Наименование IPSet в котором описаны сети в FQDN	Значение типа string, не должно содержать в себе пробелов
${Transport}	tcp | udp	протокол передачи данных в цепочке правил.	Одно из двух значений tcp | udp
${RuleType}	ip	ip	Описывает, что принимает трафик типа ip
${DstPorts}	dport {}	Набор целочисленных значений от 0 до 65535З	Значения dport (destination port). Может быть как одно значение, как и множество значений портов. В случае если одно значение у порта то передается значение либо как целочисленное значение либо как название порта. Если передается массив значений портов то они должны быть внутри {} перечислены через запятую.
${Counter}	counter packets 0 bytes 0	Не параметризированный	Счетчик, учитывает количество пройденных пакетов с количеством байтов переданной информации в рамках указанной цепочки правил
${Verdict}	accept	Не параметризированный $Verdict определяет действие, которое будет применено к пакету в соответсвии с правилом. Это поле может принимать значение accept или drop в зависимости от указанного в правиле. Подробнее: Verdict statement	Вердикт политики по пакетам данных

Шаблон

chain EGRESS-host-${hostUUID} {
    # **********
    ${RuleType} ${DstFQDN} ${Transport} ${DstPorts} ${Trace} ${Counter} ${Verdict}
    # **********
}

Пример использования

set NetIPv4-host-$uuid {
    type ipv4_addr
    flags constant,interval
    elements = { 10.244.0.41, 127.0.0.1 } <- Host IPs
}

set NetIPv4-host-$uuid {
    type ipv4_addr
    flags constant,interval
    elements = { 10.244.0.41, 127.0.0.1 } <- Host IPs
}

chain EGRESS-host-d09f6c25-6e70-4a29-8559-6664cdcb84c9 {
    # **********
    ip daddr @NetIPv4-fqdn-example.com tcp dport 7777 meta nftrace set 1 counter packets 0 bytes 0 accept
    ip daddr @NetIPv6-fqdn-example.com udp dport 7777-8000 meta nftrace set 0 counter packets 0 bytes 0 accept
    # **********
}