Product SiteDocumentation Site

41.2.7. Наборы IP-адресов

Наборы IP-адресов (IPSet) можно использовать для определения групп сетей и узлов. На них можно ссылаться в свойствах источника и назначения правил межсетевого экрана с помощью «+name».
Следующий пример разрешает HTTP-трафик из набора IP-адресов управления: 
IN HTTP(ACCEPT) -source +management
Пример работы с набором IP-адресов в веб-интерфейсе:
  1. Перейти в раздел Центр обработки данныхСетевой экранIPSet;
  2. В секции IPSet нажать кнопку Создать, в открывшемся окне ввести название набора и нажать кнопку ОК:
    Создание набора IP-адресов
  3. Выделить созданный набор.
  4. В секции IP/CIDR нажать кнопку Добавить, в открывшемся окне указать IP/CIDR и нажать кнопку Создать:
    Добавление сети к набору
  5. Повторить п.3 нужное число раз для добавления всех IP к набору.
    IP-адреса в наборе my_ip_set
  6. Перейти в раздел ВМСетевой экран.
  7. Нажать кнопку Добавить, в открывшемся окне в поле Источник выбрать созданный набор, установить другие параметры правила и нажать кнопку Добавить:
    Указание набора IP-адресов в правиле межсетевого экрана

41.2.7.1. Стандартный набор IP-адресов management

Стандартный набор IP-адресов management применяется только к межсетевым экранам узлов (не к межсетевым экранам ВМ). Этим IP-адресам разрешено выполнять обычные задачи управления (PVE GUI, VNC, SPICE, SSH).
Локальная сеть кластера автоматически добавляется в этот набор IP-адресов (псевдоним cluster_network), чтобы включить межкластерную связь узлов (multicast, ssh, …): 
# /etc/pve/firewall/cluster.fw

[IPSET management]
192.168.0.90
192.168.0.90/24

41.2.7.2. Стандартный набор IP-адресов blacklist

Трафик с IP-адресов, внесенных в черный список (blacklist), отбрасывается межсетевым экраном каждого узла и ВМ: 
# /etc/pve/firewall/cluster.fw

[IPSET blacklist]
77.240.159.182
213.87.123.0/24

41.2.7.3. Стандартный набор IP-адресов ipfilter-net*

Фильтры ipfilter-net* относятся к сетевому интерфейсу ВМ и в основном используются для предотвращения подмены IP-адресов. Если набор IP-адресов ipfilter-net* существует для интерфейса, то любой исходящий трафик с исходным IP-адресом, не соответствующим соответствующему набору ipfilter его интерфейса, будет отброшен.
Для контейнеров с настроенными IP-адресами эти наборы, если они существуют (или активированы с помощью параметра общего фильтра IP-адресов на вкладке Параметры межсетевого экрана ВМ), неявно содержат связанные IP-адреса.
Как для ВМ, так и для контейнеров они также неявно содержат стандартный локальный адрес IPv6, полученный из MAC-адреса, чтобы обеспечить работу протокола обнаружения соседей. 
/etc/pve/firewall/<VMID>.fw

[IPSET ipfilter-net0] # only allow specified IPs on net0
192.168.0.90