Настройка правил брандмауэра для исходящих подключений

Чтобы управлять исходящим трафиком узлов кластера, настройте правила брандмауэра для публичных сетей с помощью инструмента vinfra. По умолчанию порты, которые используют системные службы, открыты, чтобы обеспечить непрерывную работу кластера. Кроме того, исходящий трафик всегда разрешен в выделенной подсети для внутренней связи между узлами кластера. Поскольку частная сеть закрыта для доступа извне и не взаимодействует с внешними конечными точками, для нее не требуется ограничивать исходящий трафик. Сеть считается частной, если ей назначен один из следующих видов трафика:

  • OSTOR внутр.
  • Резервное копирование (ABGW) внутр.
  • Управление системными сервисами
  • Хранилище

Частной сети всегда назначено правило <private_subnet_cidr>:any:0, которое разрешает любой исходящий трафик в текущей подсети. Это правило нельзя просмотреть с помощью команд vinfra, оно существует только в iptables.

Чтобы блокировать весь исходящий трафик, за исключением необходимого для работы кластера, выполните следующие действия.

  1. Создайте дополнительные правила брандмауэра, чтобы разрешить исходящие подключения для отдельных служб.
  2. Удалите правило, которое разрешает любые исходящие подключения.
  3. Проверьте сетевые параметры.
Значок ссылки на похожие темыСм. также