Управление Firewall

Панель управления

Из раздела Firewall

1. Перейдите в раздел «Сети» — «Firewall» и нажмите «Добавить».
2. Выберите, что нужно сделать: разрешить трафик или запретить трафик.
3. Задайте правила файрвола для входящего и/или исходящего трафика. В дальнейшем вы сможете отредактировать заданные правила или удалить их, а также добавить новые правила в файрвол.
4. Выберите, к каким сервисам должны применяться указанные правила. В дальнейшем вы сможете добавить/удалить сервисы из файрвола.
5. Укажите свое имя файрвола при необходимости и нажмите «Создать».

Со страницы сервиса

Вы также можете перейти к созданию файрвола со страницы сервиса. 

• Для DBaaS — на вкладке «Настройки»:

• Для балансировщиков нагрузки — на вкладке «Дашборд»:

• Для VDS — на вкладке «Сеть»:

В блоке «Firewall» кликните «Настроить» — «Создать новый». Вы будете переадресованы в раздел «Firewall» на форму создания новой группы правил, где сможете задать правила, добавить сервисы и сохранить новый файрвол.

Terraform

Дальнейшее описание предполагает, что у вас уже установлен Terraform, настроен провайдер Timeweb Cloud и инициализирован проект (шаги 1–4 этой инструкции).

Создание файрвола начинается с ресурса twc_firewall, который задает сам файрвол, указав его имя и описание:

resource "twc_firewall" "example-firewall" {
  name    	= "example-firewall"
  description = "Example firewall description"
}

Этот код создает файрвол с именем «example-firewall» и описанием «Example firewall description».

Полный пример

Полный пример включает создание двух серверов, создание файрвола, привязку серверов к файрволу и настройку популярных портов:

terraform {
  required_providers {
	twc = {
  	source = "tf.timeweb.cloud/timeweb-cloud/timeweb-cloud"
	}
  }
  required_version = ">= 1.5.3"
}

provider "twc" {
  token = "<ваш токен>"
}

# Запрос данных о системе Ubuntu 22.04
data "twc_os" "os" {
  family   = "linux"
  name 	= "ubuntu"
  version  = "22.04"
}

# Запрос данных о пресете (конфигурации сервера)
data "twc_presets" "preset" {
  description_short = "Cloud-15"
}

# Создание серверов
resource "twc_server" "vds-with-preset" {
  name  	= "Server 1"
  os_id 	= data.twc_os.os.id
  preset_id = data.twc_presets.preset.id
}

resource "twc_server" "vds-with-preset-2" {
  name  	= "Server 2"
  os_id 	= data.twc_os.os.id
  preset_id = data.twc_presets.preset.id
}

# Добавление IPv4 для созданных серверов
resource "twc_floating_ip" "floating-ip1" {
  availability_zone = "spb-3"

  resource {
	type = "server"
	id   = twc_server.vds-with-preset.id
  }
}

resource "twc_floating_ip" "floating-ip2" {
  availability_zone = "spb-3"

  resource {
	type = "server"
	id   = twc_server.vds-with-preset-2.id
  }
}

# Создание файрвола и привязка серверов
resource "twc_firewall" "example-firewall" {
  name    	= "example-firewall"
  description = "Example firewall with multiple port rules"

  link {
	id   = twc_server.vds-with-preset.id
	type = "server"
  }

  link {
	id   = twc_server.vds-with-preset-2.id
	type = "server"
  }
}

# Создание правил для популярных портов
resource "twc_firewall_rule" "example-firewall-rules" {
  firewall_id = twc_firewall.example-firewall.id
  description = "Правила для популярных портов"
  for_each	= toset([for port in [22, 80, 443, 8080] : format("%d", port)])
  direction   = "ingress"
  port    	= each.value
  protocol	= "tcp"
}

Перед запуском не забудьте указать токен. Чтобы выполнить этот код, сохраните его в файл с расширением .tf и выполните команды:

terraform init
terraform plan
terraform apply

Это инициализирует Terraform и применит конфигурацию для создания необходимых ресурсов.

Панель управления

Создание новых правил

Если выбрана опция «Разрешить трафик», будет разрешен только трафик, соответствующий созданному правилу. Весь остальной трафик будет заблокирован.

 

Если выбрана опция «Запретить трафик», будет разрешен весь трафик, кроме заданного правилами.

Чтобы создать новое правило при создании нового файрвола:

1. Выберите, что нужно сделать: разрешить определенный трафик или запретить.
2. Кликните «Добавить правило» в блоке «Входящий трафик» или «Исходящий трафик».

2. Укажите параметры правила:

• Подсеть или адрес. Можно указать конкретный IP, подсеть или значение 0.0.0.0/0, чтобы разрешить/запретить все адреса и подсети, — либо можно выбрать Для всех адресов. В настоящий момент опция «Для всех адресов» работает для IPv4; для аналогичной настройки для IPv6-адресов потребуется создать отдельное правило, указав адрес ::/0.
• Тип. Можно задать собственное правило или выбрать один из готовых типов. В этом случае протокол и порт заполнятся автоматически.
• Протокол. Можно выбрать TCP, UDP или ICMP.
• Порт. Можно указать порт или диапазон портов.

3. Нажмите «Добавить».

Вы также можете добавлять новые правила к уже существующим файрволам. Для этого:

1. Перейдите в раздел «Сети» — «Firewall».
2. Кликните на нужную группу правил.
3. Нажмите «Добавить» в нужном блоке.

4. Задайте параметры правила и сохраните изменения.

Редактирование правил

Чтобы внести изменения в уже созданное правило:

1. Перейдите в раздел «Сети» — «Firewall»
2. Кликните на нужную группу правил.
3. Кликните на нужное правило.

4. Внесите правки и сохраните изменения.

Удаление правил

Чтобы удалить правило:

1. Перейдите в раздел «Сети» — «Firewall».
2. Кликните на нужную группу правил.
3. Кликните на три точки у нужного правила и нажмите «Удалить правило».

4. Подтвердите удаление.

Terraform

Добавление правила для порта

Чтобы добавить правило, разрешающее входящий трафик (ingress) на определенный порт (например, порт 80 для HTTP), используйте ресурс twc_firewall_rule:

resource "twc_firewall_rule" "example-firewall-rule" {
  firewall_id = twc_firewall.example-firewall.id
  description = "Allow HTTP traffic"
  direction   = "ingress"
  port    	= 80
  protocol	= "tcp"
  cidr    	= "0.0.0.0/0"
}

Этот пример показывает, как разрешить трафик на порт 80 из любого источника (CIDR 0.0.0.0/0).

Создание правил для диапазона портов

Если необходимо создать правила для диапазона портов, это можно сделать с помощью цикла for_each и функции range:

resource "twc_firewall_rule" "example-firewall-rules" {
  firewall_id = twc_firewall.example-firewall.id
  description = "Правила для диапазона портов 8000-8010"

  for_each   = toset([for port in range(8000, 8010) : format("%d", port)])
  direction  = "ingress"
  port   	= each.value
  protocol   = "tcp"
}

В этом примере функция range(8000, 8010) создает список чисел от 8000 до 8010 включительно, который затем передается в toset() для создания уникального набора. Для каждого порта в этом диапазоне создается отдельное правило в файрволе. Поскольку for_each требует для работы с коллекциями данные, состоящие из строк, порты преобразуются в строки с помощью функции format(), где %d — это формат для целого числа. В переменную port подставляется результат цикла each.value.

Создание правил для конкретных портов

Для настройки доступа к нескольким конкретным портам также можно использовать цикл. Например, чтобы открыть порты 22, 80, 443 и 8080:

resource "twc_firewall_rule" "example-firewall-rules" {
  firewall_id = twc_firewall.example-firewall.id
  description = "Правила для популярных портов"

  for_each   = toset([for port in [22, 80, 443, 8080] : format("%d", port)])
  direction  = "ingress"
  port   	= each.value
  protocol   = "tcp"
}

Мы создаем список портов [22, 80, 443, 8080] и используем цикл for для преобразования каждого порта в строку с помощью функции format("%d", port). В результате для каждого порта создается отдельное правило в файрволе.

Панель управления

Из раздела Firewall

При создании файрвола кликните «Выбрать сервис» в блоке «Подключить к сервисам» и выберите нужные:

Чтобы добавить сервисы в уже существующий файрвол:

1. Перейдите в раздел «Сети» — «Firewall».
2. Кликните на нужную группу правил.
3. Перейдите на вкладку «Серверы» и нажмите «Добавить».

4. В открывшемся окне выберите нужные сервисы и сохраните изменения.

Со страницы сервиса

Вы можете добавить сервис в файрвол со страницы самого сервиса. Как и при создании нового файрвола, это можно сделать:

• Для DBaaS — на вкладке «Настройки».
• Для балансировщиков — на вкладке «Дашборд».
• Для VDS — на вкладке «Сеть».

После перехода на нужную вкладку:

1. В блоке «Firewall» кликните «Настроить».
2. В открывшемся окне выберите нужную группу правил и нажмите «Сохранить».

Сервис может быть одновременно добавлен в несколько разных групп правил.

Terraform

Чтобы привязать серверы к файрволу, необходимо использовать ссылки. Создадим два сервера через Terraform и привяжем их к файрволу:

# Запрос данных о системе Ubuntu 22.04
data "twc_os" "os" {
  family   = "linux"
  name  = "ubuntu"
  version  = "22.04"
}

# Запрос данных о пресете (конфигурации сервера)
data "twc_presets" "preset" {
  description_short = "Cloud-15"
}

# Создание первого сервера
resource "twc_server" "vds-with-preset" {
  name  	= "Server 1"
  os_id 	= data.twc_os.os.id
  preset_id = data.twc_presets.preset.id
}

# Создание второго сервера 
resource "twc_server" "vds-with-preset-2" {
  name  	= "Server 2"
  os_id 	= data.twc_os.os.id
  preset_id = data.twc_presets.preset.id
}

# Добавление IPv4 для созданных серверов
resource "twc_floating_ip" "floating-ip1" {
  availability_zone = "spb-3"

  resource {
	type = "server"
	id   = twc_server.vds-with-preset.id
  }
}

resource "twc_floating_ip" "floating-ip2" {
  availability_zone = "spb-3"

  resource {
	type = "server"
	id   = twc_server.vds-with-preset-2.id
  }
}


# Создание файрвола и привязка серверов
resource "twc_firewall" "example-firewall" {
  name    	= "example-firewall"
  description = "Example firewall with multiple port rules"

  link {
	id   = twc_server.vds-with-preset.id
	type = "server"
  }

  link {
	id   = twc_server.vds-with-preset-2.id
	type = "server"
  }
}

С помощью директивы link мы привязали оба сервера к файрволу.