[cloudstack-users:0398] セキュリティグループの受信規則で全ての通信を許可するためには？

[Ayumi Hataya]

こんにちは

TSR株式会社 畑屋(はたや) と申します。

初めての投稿ですが、よろしくお願いします。

現在 CloudStack4.4.1 を物理サーバー3台構成で使っています。
・管理サーバー 1台
・プライマリ兼セカンダリストレージ 1台
・ホスト 1台

今回ご相談したいのは「セキュリティグループ」の設定についてです。

インスタンスごとに設定できるセキュリティグループの受信規則で
すべてのホストからすべての通信を受信許可するルールを書きたい
と思っています。
(検証作業期間中だけトラブル要素を排除するため全通信を許可したい)

TCP と UDP にいては、WEB管理画面から下記のように設定することで
実現できているようですが、ICMPだけは type と code を指定を
しないといけないようです。

WEB管理画面より下記のように入力する
-----
TCP  | 開始ポート 0 | 終了ポート 0 | CIDR 0.0.0.0/0
UDP  | 開始ポート 0 | 終了ポート 0 | CIDR 0.0.0.0/0
ICMP | ICMP TYPE  0 | ICMP CODE  0 | CIDR 0.0.0.0/0
-----
　↓
設定値としては下記のような表示をしています
-----
TCP  | 開始ポート 0 | 終了ポート 65535 | CIDR 0.0.0.0/0
UDP  | 開始ポート 0 | 終了ポート 65535 | CIDR 0.0.0.0/0
ICMP | CIDR 0.0.0.0/0
-----
この設定だとCloudStackの外のノードからインスタンスにpingが通りません。


一方、WEB管理画面より下記のように入力する
-----
TCP  | 開始ポート 0 | 終了ポート 0 | CIDR 0.0.0.0/0
UDP  | 開始ポート 0 | 終了ポート 0 | CIDR 0.0.0.0/0
ICMP | ICMP TYPE  8 | ICMP CODE  0 | CIDR 0.0.0.0/0
-----  ※Echo Requestを明示的に記述
　↓
設定値としては下記のような表示をしています
-----
TCP  | 開始ポート 0 | 終了ポート 65535 | CIDR 0.0.0.0/0
UDP  | 開始ポート 0 | 終了ポート 65535 | CIDR 0.0.0.0/0
ICMP | CIDR 0.0.0.0/0
----- ※ 見た目は変わらない・・・
この設定だとCloudStackの外のノードからインスタンスにpingが通ります


このことから、ICMPだけは TYPE と CODE を明示的に指定しないと
いけないようなのですが「ICMPを全部通す」みたいな設定をする
ことはできないのでしょうか？

また、WEB画面上では TYPE と CODE を指定したことがわからないの
ですが、設定内容を確認しようとするならば mysql のテーブルを
見るか API 経由で値を取得するしかないのですよね？


以上 ご教示のほどよろしくお願いします。



-- 
畑屋歩
hatayan1126 ＠ gmail.com