[cloudstack-users:0400] Re: セキュリティグループの受信規則で全ての通信を許可するためには?

Ayumi Hataya hatayan1126 @ gmail.com
2014年 10月 17日 (金) 09:53:36 JST 

Ishizu さま

お世話になっております TSR畑屋 です。

早々にお返事いただき、ありがとうございます。

本日出勤して早速 "-1" 設定を試してみたところインスタンスに
pingが通ることが確認できたので、この設定で検証を進めて
みようと思います。

ありがとうございます。


WEB管理画面の表示は以下のようになってます。
-----
TCP  | 開始ポート 0 | 終了ポート 65535 | CIDR 0.0.0.0/0
UDP  | 開始ポート 0 | 終了ポート 65535 | CIDR 0.0.0.0/0
ICMP | ICMP TYPE -1 | ICMP CODE -1     | CIDR 0.0.0.0/0
-----

ちなみに、TYPE と CODE に "0" がセットされていると、WEBの
画面上では省略されてしまうようなので、ICMPエコー要求を通し
たければ TYPE 8 / CODE -1 と設定すればWEB画面でも
設定内容が確認できるだろうと思ってやってみました。

-----(予想)
 :
ICMP | ICMP TYPE 8 | ICMP CODE -1 | CIDR 0.0.0.0/0
-----

しかし「Invalid icmp code: need non-negative icmp code 」
というエラーで設定できませんでした・・・残念・・・


2014年10月17日 1:51 Ishizu Harutaka <haru.ishizu @ gmail.com>:
> 畑屋さま
>
> セキュリティグループでICMPを許可する設定ですがTYPEとCODEをともに"-1"を設定することで解決できませんか?
> 4.4.1の環境がないので確認はできておりませんが、試してみていただけないでしょうか?
>
>
> 2014年10月17日 0:13 Ayumi Hataya <hatayan1126 @ gmail.com>:
>> こんにちは
>>
>> TSR株式会社 畑屋(はたや) と申します。
>>
>> 初めての投稿ですが、よろしくお願いします。
>>
>> 現在 CloudStack4.4.1 を物理サーバー3台構成で使っています。
>> ・管理サーバー 1台
>> ・プライマリ兼セカンダリストレージ 1台
>> ・ホスト 1台
>>
>> 今回ご相談したいのは「セキュリティグループ」の設定についてです。
>>
>> インスタンスごとに設定できるセキュリティグループの受信規則で
>> すべてのホストからすべての通信を受信許可するルールを書きたい
>> と思っています。
>> (検証作業期間中だけトラブル要素を排除するため全通信を許可したい)
>>
>> TCP と UDP にいては、WEB管理画面から下記のように設定することで
>> 実現できているようですが、ICMPだけは type と code を指定を
>> しないといけないようです。
>>
>> WEB管理画面より下記のように入力する
>> -----
>> TCP  | 開始ポート 0 | 終了ポート 0 | CIDR 0.0.0.0/0
>> UDP  | 開始ポート 0 | 終了ポート 0 | CIDR 0.0.0.0/0
>> ICMP | ICMP TYPE  0 | ICMP CODE  0 | CIDR 0.0.0.0/0
>> -----
>>  ↓
>> 設定値としては下記のような表示をしています
>> -----
>> TCP  | 開始ポート 0 | 終了ポート 65535 | CIDR 0.0.0.0/0
>> UDP  | 開始ポート 0 | 終了ポート 65535 | CIDR 0.0.0.0/0
>> ICMP | CIDR 0.0.0.0/0
>> -----
>> この設定だとCloudStackの外のノードからインスタンスにpingが通りません。
>>
>>
>> 一方、WEB管理画面より下記のように入力する
>> -----
>> TCP  | 開始ポート 0 | 終了ポート 0 | CIDR 0.0.0.0/0
>> UDP  | 開始ポート 0 | 終了ポート 0 | CIDR 0.0.0.0/0
>> ICMP | ICMP TYPE  8 | ICMP CODE  0 | CIDR 0.0.0.0/0
>> -----  ※Echo Requestを明示的に記述
>>  ↓
>> 設定値としては下記のような表示をしています
>> -----
>> TCP  | 開始ポート 0 | 終了ポート 65535 | CIDR 0.0.0.0/0
>> UDP  | 開始ポート 0 | 終了ポート 65535 | CIDR 0.0.0.0/0
>> ICMP | CIDR 0.0.0.0/0
>> ----- ※ 見た目は変わらない・・・
>> この設定だとCloudStackの外のノードからインスタンスにpingが通ります
>>
>>
>> このことから、ICMPだけは TYPE と CODE を明示的に指定しないと
>> いけないようなのですが「ICMPを全部通す」みたいな設定をする
>> ことはできないのでしょうか?
>>
>> また、WEB画面上では TYPE と CODE を指定したことがわからないの
>> ですが、設定内容を確認しようとするならば mysql のテーブルを
>> 見るか API 経由で値を取得するしかないのですよね?
>>
>>
>> 以上 ご教示のほどよろしくお願いします。
>>
>>
>>
>> --
>> 畑屋歩
>> hatayan1126 @ gmail.com
>>
>> _______________________________________________
>> users mailing list
>> users @ cloudstack.jp
>> http://ml.cloudstack.jp/mailman/listinfo/users



-- 
畑屋歩
hatayan1126 @ gmail.com

users メーリングリストの案内