¶ Introduction
Les groupes de sécurité sont des « firewalls » pour vos ressources. Ils possèdent plusieurs caractéristiques :
- Les groupes de sécurité sont STATEFUL par défaut
- Il n’est pas possible d’utiliser les groupes de sécurité pour bloquer une adresse IP ou un port spécifique
- Il n’est pas possible de créer des règles de blocage seulement des règles d’autorisation
¶ Horizon
¶ Créer un groupe de sécurité
¶ Rendez vous dans la section Groupes de Sécurité sous Réseaux et cliquez sur + Créer un groupe de Sécurité
¶ Nommez votre groupe de sécurité et cliquez sur Créer un Groupe de Sécurité
¶ Créer une règle pour SSH (22)
¶ Cliquez sur Ajouter une règle
¶ Selectionnez le protocole, le(s) port(s) et son scope d’action puis cliquez sur Ajouter
Cette procédure est valable pour tous les ports TCP et UDP
¶ Créer une règle pour PING (ICMP)
¶ Cliquez sur Ajouter une règle
¶ Selectionnez le protocol ALL ICMP et son scope d’action puis cliquez sur Ajouter
¶ CLI
¶ Documentation OpenStack
- 🔗 OpenStack Docs : security group Documentation officielle
- 🔗 OpenStack Docs : security group rule Documentation officielle
¶ Créer un groupe de sécurité
openstack security group create [--description <DESCRIPTION>] <NAME>
–description DESCRIPTION
- Description pour le groupe de sécurité à créer
NAME
Nom du groupe de sécurité à créer
.
¶ Créer une règle
openstack security group rule create
[--remote-ip <IP_ADDRESS> | --remote-group <GROUP>]
[--dst-port <PORT_RANGE>]
[--protocol <PROTOCOL>]
[--description <DESCRIPTION>]
[--icmp-type <ICMP_TYPE>]
[--icmp-code <ICMP_CODE>]
[--ingress | --egress]
[--ethertype <ETHERTYPE>]
<GROUP>
–remote-ip IP_ADDRESS
- Bloc d’adresse IP distante (Utilisez la notation CIDR : valeur par défaut pour la règle IPv4 :
0.0.0.0/0, valeur par défaut pour la règle IPv6 :::/0)–remote-group GROUP
- Nom ou ID du groupe de sécurité distant
–dst-port PORT_RANGE
- Le port de destination peut être un port unique ou une plage de ports :
137:139. Requis pour les protocoles IP TCP et UDP.–protocol PROTOCOL
- Protocole à utiliser (ICMP / TCP / UPD)
–description DESCRIPTION
- Définir la description de la règle du groupe de sécurité
–icmp-type ICMP_TYPE
- Type ICMP pour les protocoles IP ICMP
–icmp-code ICMP_CODE
- Code ICMP pour les protocoles IP ICMP
–ingress | --egress
- Appliquer la règle au trafic entrant ou sortant
–ethertype ETHERTYPE
- Ethertype de trafic réseau (IPv4, IPv6 ; par défaut : basé sur le protocole IP)
GROUP
Créer une règle dans ce groupe de sécurité (nom ou ID)
.
¶ Exemple 1 : SSH (22)
openstack security group rule create --remote-ip 0.0.0.0/0 --dst-port 22 --protocol TCP --description SSH --ingress <GROUP>
¶ Exemple 2 : PING (ICMP)
openstack security group rule create --remote-ip 0.0.0.0/0 --protocol ICMP --description PING --ingress <GROUP>
¶ Lister les rèles
openstack security group rule list
[--protocol <PROTOCOL>]
[--ingress | --egress]
[<GROUP>]
–protocol PROTOCOL
- Filtrer par protocole (ICMP / TCP / UDP)
–ingress | --egress
- Filtrer par trafic entrant ou sortant
GROUP
Filtrer par groupe de sécurité
.
¶ Afficher une règles
openstack security group rule show <RULE>
RULE
Nom ou ID de la règle à afficher
.
¶ Supprimer une règle
openstack security group rule delete <RULE>
RULE
Nom ou ID de la règle à supprimer
.
¶ Lister les groupes de sécurités
openstack security group list
¶ Afficher un groupe de sécurité
openstack security group show <GROUP>
GROUP
Nom ou ID du groupe de sécurité à afficher
.
¶ Lister un groupe de sécurité
openstack security group list
¶ Supprimer un groupe de sécurité
openstack security group delete <GROUP>
GROUP
Nom ou ID du groupe de sécurité à supprimer
.