Операции с правилами файрвола

Просмотреть информацию о правилах

Веб-консоль
MWS CLI
API

В веб-консоли выберите нужный проект.
В списке сервисов выберите Virtual Private Cloud → Сети.
Выберите нужную сеть и перейдите на вкладку Правила firewall.
Выберите нужное правило.

Если у вас нет утилиты MWS CLI:
1. Установите утилиту.
2. Инициализируйте профиль.
Узнайте идентификатор вашей сети:
bash
```
1
mws vpc network list
```

Просмотрите список правил файрвола для вашей сети:

1
mws vpc firewall-rule list --network <имя сети>

1
+---------------+------------------------------------------+------------+----------------------+
2
|       ID      |                DESCRIPTION               |   STATUS   |      UPDATE TIME     |
3
+---------------+------------------------------------------+------------+----------------------+
4
| <имя правила> | Firewall правило, которое запрещает      | OK         | 2025-05-22T09:45:27Z |
5
|               | исходящий SMTP.                          |            |                      |
6
+---------------+------------------------------------------+------------+----------------------+

Чтобы получить информацию о правиле файрвола, выполните команду:

1
mws vpc firewall-rule get <имя правила> --network <имя сети>

1
kind: vpc/v1/firewallRule
2
metadata:
3
   createTime: "2025-05-22T09:45:25Z"
4
   description: Firewall правило, которое запрещает исходящий SMTP.
5
   displayName: Запрещает исходящий SMTP
6
   etag: 6c208e24a6e64aaa8cfff60b98e3859c
7
   generation: 1
8
   id: projects/<имя проекта>/networks/<имя сети>/firewallRules/<имя правила>
9
   name: <имя правила>
10
   updateTime: "2025-05-22T09:45:27Z"
11
   usages:
12
      - name: network
13
         resource: vpc/projects/<имя проекта>/networks/<имя сети>
14
         usageType: own
15
spec:
16
   action: DENY
17
   active: true
18
   destination:
19
      spec:
20
            cidrs:
21
               - 0.0.0.0/0
22
   direction: EGRESS
23
   protoPorts:
24
      - TCP:25
25
      - TCP:587
26
   source:
27
      spec:
28
            cidrs:
29
               - 0.0.0.0/0
30
status:
31
   active: true
32
   priority: 500
33
   ready:
34
      state: OK

Убедитесь, что у вас есть IAM-токен для авторизации запроса.Если нет, получите его.

Чтобы просмотреть список правил, выполните запрос:

1
curl -X GET https://vpc.mwsapis.ru/vpc/v1/projects/<имя проекта>/networks/<имя сети>/firewallRules \
2
  -H "Authorization: Bearer <IAM-токен>" \
3
  -H "Content-Type: application/json"

Чтобы просмореть информацию о конкретном правиле, выполните запрос:

1
curl -X GET https://vpc.mwsapis.ru/vpc/v1/projects/<имя проекта>/networks/<имя сети>/firewallRules/<имя правила> \
2
  -H "Authorization: Bearer <IAM-токен>" \
3
  -H "Content-Type: application/json"

Создать правило

Веб-консоль
MWS CLI
Terraform
API

В веб-консоли выберите нужный проект.
В списке сервисов выберите Virtual Private Cloud → Сети.
Выберите сеть, для которой нужно создать правило.
Перейдите на вкладку Правила firewall и нажмите кнопку Создать правило.
Укажите параметры правила:
- (опционально) Имя — измените автоматически сгенерированное имя правила. Позже это имя (name) и созданный из него идентификатор (ID) нельзя изменить, меняется только отображаемое имя (display name) правила.
- Направление трафика, для которого будет применяться правило: Ingress — для входящего, Egress — для исходящего.
- Действие в рамках правила: Allow — разрешить, Deny — запретить.
- Приоритет правила. Значение по умолчанию — 1000.
- Источник трафика — IP-адреса или подсети, трафик из которых будет разрешать или запрещать правило. Чтобы разрешить или запретить доступ с любых адресов в интернете, укажите 0.0.0.0/0.
- Назначение трафика — один или несколько внутренних IP-адресов, доступ к которым будет регламентировать правило. Вы можете указывать как отдельные адреса — например, 192.168.0.4/32, так и целые подсети — например, 192.168.0.0/16.
- Протоколы и порты, для которых будет применяться правило. Вы можете как выбрать из списка конкретные протоколы (SSH, TCP, HTTP, HTTPS, FTP, OpenVPN), так и указать протокол самостоятельно.
(опционально) Чтобы правило моментально начало действовать, включите опцию Активировать правило после сохранения.
Нажмите кнопку Создать.

Если у вас нет утилиты MWS CLI:
1. Установите утилиту.
2. Инициализируйте профиль.

Выполните команду:

1
mws vpc firewall-rule create <имя правила> \
2
  --network <имя сети> \
3
  <набор флагов>

Полный список флагов вы можете получить с помощью команды:

1
mws vpc firewall-rule create --help

Пример создания правила файрвола:

1
mws vpc firewall-rule create <имя правила> \
2
  --network <имя сети> \
3
  --description "Правило файрвола, которое запрещает исходящий SMTP-трафик" \
4
  --display-name "Запрещает исходящий SMTP-трафик" \
5
  --active \
6
  --direction EGRESS \
7
  --action DENY \
8
  --source-spec-cidrs "0.0.0.0/0" \
9
  --destination-spec-cidrs "0.0.0.0/0" \
10
  --proto-ports "TCP:25" \
11
  --proto-ports "TCP:587" \
12
  --priority 1000

1
kind: vpc/v1/firewallRule
2
metadata:
3
    createTime: "2025-06-16T03:37:56Z"
4
    description: Правило файрвола, которое запрещает исходящий SMTP-трафик
5
    displayName: Запрещает исходящий SMTP-трафик
6
    etag: 5f47ef7d16b0489299c138ae7505ae25
7
    generation: 1
8
    id: projects/<имя проекта>/networks/<имя сети>/firewallRules/<имя правила>
9
    name: <имя правила>
10
    updateTime: "2025-06-16T03:37:56Z"
11
spec:
12
    action: DENY
13
    active: true
14
    destination:
15
        spec:
16
            cidrs:
17
                - 0.0.0.0/0
18
    direction: EGRESS
19
    priority: 1000
20
    protoPorts:
21
        - TCP:25
22
        - TCP:587
23
    source:
24
        spec:
25
            cidrs:
26
                - 0.0.0.0/0
27
status:
28
    active: true
29
    priority: 1000
30
    ready:
31
        state: PROCESSING

Если у вас не установлен Terraform, установите его.
Опишите в конфигурационном файле правило:
hcl
```
1
resource "mws_vpc_firewall_rule" "firewall_rule" {
2
  metadata = {
3
    display_name = "<отображаемое имя правила>"
4
  }
5

6
  firewall_rule = "<имя правила>"
7
  network       = "<ссылка на родительскую сеть>"
8

9
  priority  = "<приоритет правила>"
10
  direction = "<направление трафика>"
11
  action    = "<действие в рамках правила>"
12

13
  source = {
14
    spec = {
15
      cidrs = ["<IP-адрес источника трафика в CIDR-нотации>"]
16
    }
17
  }
18

19
  destination = {
20
    spec = {
21
      cidrs = ["<IP-адрес назначения в CIDR-нотации>"]
22
    }
23
  }
24

25
  proto_ports = ["<протокол>:<порт>"]
26
  active      = true
27
}
```
Здесь:
- display_name — отображаемое имя правила (например, allow-ssh);
- firewall_rule — имя правила;
- network — ссылка на родительскую сеть;
- priority — приоритет правила;
- direction — направление трафика (INGRESS — входящий, EGRESS — исходящий);
- action — действие в рамках правила (ALLOW — разрешить, DENY — запретить);
- source — источник трафика (в поле cidrs указывается IP-адрес источника в CIDR-нотации, например, 198.51.100.1/32);
- destination — назначение трафика (в поле cidrs указывается IP-адрес назначения в CIDR-нотации, например, 192.168.1.1/32);
- proto_ports — протокол и порт, для которых нужно разрешить или запретить доступ;
- active — указывает, нужно ли активировать правило сразу после создания (true — активировать, false — не активировать).
Подробнее о параметрах правил файрвола и особенностях их использования см. в спецификации.
Проверьте конфигурационный файл на наличие синтаксических ошибок:
bash
```
1
terraform validate
```
Если ошибок нет, вы получите следующее сообщение:
bash
```
1
Success! The configuration is valid.
```
Выполните команду:
bash
```
1
terraform plan
```
Terraform проверит конфигурационные файлы, сопоставит описание желаемого состояния облачной инфраструктуры с фактическим и укажет, какие операции с ресурсами будут выполнены.
Примените конфигурацию:
bash
```
1
terraform apply
```
Подтвердите выполнение операций: введите слово yes и нажмите Enter.

Во время создания ресурсов Terraform будет выводить краткие сообщения о выполняемых операциях. Проверить, что ресурсы созданы и настроены корректно, можно в веб-консоли.

Убедитесь, что у вас есть IAM-токен для авторизации запроса.Если нет, получите его.

Выполните запрос:

1
curl -X POST https://vpc.mwsapis.ru/vpc/v1/projects/<имя проекта>/networks/<имя сети>/firewallRules/<имя правила> \
2
  -H "Authorization: Bearer <IAM-токен>" \
3
  -H "Content-Type: application/json" \
4
  -d '{
5
   "metadata":{
6
      "name":"<имя правила>",
7
      "displayName":"<имя правила>"
8
   },
9
   "spec":{
10
      "priority":1000,
11
      "direction":"<направление трафика (INGRESS или EGRESS)>",
12
      "action":"<действие (ALLOW или DENY>",
13
      "source":{
14
         "spec":{
15
            "cidrs":[
16
               "<диапазон IP-адресов, с которых разрешен или запрещен исходящий трафик>"
17
            ]
18
         }
19
      },
20
      "destination":{
21
         "spec":{
22
            "cidrs":[
23
               "<диапазон IP-адресов, на которые разрешено или запрещено принимать исходящий трафик>"
24
            ]
25
         }
26
      },
27
      "protoPorts":[
28
         "<протокол>:<порт>"
29
      ],
30
      "active":true,
31
      "network":"<имя сети>"
32
   }
33
}'

Если правило было создано успешно, вы получите ответ с кодом 200 OK.

Изменить правило

Веб-консоль
MWS CLI
API

В веб-консоли выберите нужный проект.
В списке сервисов выберите Virtual Private Cloud → Сети.
Выберите сеть, для которой нужно изменить правило.
Перейдите на вкладку Правила firewall.
Нажмите на значок ... для нужного правила и выберите Редактировать.
Измените параметры правила.
Нажмите кнопку Сохранить.

Если у вас нет утилиты MWS CLI:
1. Установите утилиту.
2. Инициализируйте профиль.

Выполните команду:

1
mws vpc firewall-rule update <имя правила> \
2
  --network <имя сети> \
3
  <набор флагов>

Полный список флагов вы можете получить с помощью команды:

1
mws vpc firewall-rule update --help

Пример изменения правила

1
mws vpc firewall-rule update <имя правила> \
2
  --network <имя сети> \
3
  --priority 2000

1
kind: vpc/v1/firewallRule
2
metadata:
3
    createTime: "2025-06-16T03:37:56Z"
4
    description: Правило файрвола, которое запрещает исходящий SMTP-трафик
5
    displayName: Запрещает исходящий SMTP-трафик
6
    etag: 5f47ef7d16b0489299c138ae7505ae25
7
    generation: 1
8
    id: projects/<имя проекта>/networks/<имя сети>/firewallRules/<имя правила>
9
    name: <имя правила>
10
    updateTime: "2025-06-16T03:37:56Z"
11
spec:
12
    action: DENY
13
    active: true
14
    destination:
15
        spec:
16
            cidrs:
17
                - 0.0.0.0/0
18
    direction: EGRESS
19
    priority: 2000
20
    protoPorts:
21
        - TCP:25
22
        - TCP:587
23
    source:
24
        spec:
25
            cidrs:
26
                - 0.0.0.0/0
27
status:
28
    active: true
29
    priority: 2000
30
    ready:
31
        state: PROCESSING

Убедитесь, что у вас есть IAM-токен для авторизации запроса.Если нет, получите его.

Выполните запрос:

1
curl -X POST https://vpc.mwsapis.ru/vpc/v1/projects/<имя проекта>/networks/<имя сети>/firewallRules/<имя правила> \
2
  -H "Authorization: Bearer <IAM-токен>" \
3
  -H "Content-Type: application/json" \
4
  -d '<новое описание правила>'

Если правило было изменено успешно, вы получите ответ с кодом 200 OK.

Деактивировать правило

Веб-консоль
MWS CLI
API

В веб-консоли выберите нужный проект.
В списке сервисов выберите Virtual Private Cloud → Сети.
Выберите сеть, для которой нужно деактивировать правило.
Перейдите на вкладку Правила firewall.
Нажмите на значок ... для нужного правила и выберите Деактивировать.
Подтвердите деактивацию правила.

Если у вас нет утилиты MWS CLI:
1. Установите утилиту.
2. Инициализируйте профиль.

Выполните команду:

1
mws vpc firewall-rule update <имя правила> \
2
  --network <имя сети> \
3
  --active=false

1
kind: vpc/v1/firewallRule
2
metadata:
3
    createTime: "2025-06-16T03:37:56Z"
4
    description: <описание правила>
5
    displayName: <имя правила>
6
    etag: 5f47ef7d16b0489299c138ae7505ae25
7
    generation: 1
8
    id: projects/<имя проекта>/networks/<имя сети>/firewallRules/<имя правила>
9
    name: <имя правила>
10
    updateTime: "2025-06-16T03:37:56Z"
11
spec:
12
    action: DENY
13
    active: false
14
    destination:
15
        spec:
16
            cidrs:
17
                - 0.0.0.0/0
18
    direction: EGRESS
19
    priority: 2000
20
    protoPorts:
21
        - TCP:25
22
        - TCP:587
23
    source:
24
        spec:
25
            cidrs:
26
                - 0.0.0.0/0
27
status:
28
    active: false
29
    priority: 2000
30
    ready:
31
        state: PROCESSING

Убедитесь, что у вас есть IAM-токен для авторизации запроса.Если нет, получите его.

Выполните запрос:

1
curl -X POST https://vpc.mwsapis.ru/vpc/v1/projects/<имя проекта>/networks/<имя сети>/firewallRules/<имя правила> \
2
  -H "Authorization: Bearer <IAM-токен>" \
3
  -H "Content-Type: application/json" \
4
  -d '{
5
   "spec":{
6
      "active":false
7
   }
8
}'

Если правило было деактивировано успешно, вы получите ответ с кодом 200 OK.

Активировать правило

Веб-консоль
MWS CLI
API

В веб-консоли выберите нужный проект.
В списке сервисов выберите Virtual Private Cloud → Сети.
Выберите сеть, для которой нужно активировать правило.
Перейдите на вкладку Правила firewall.
Нажмите на значок ... для нужного правила и выберите Активировать.
Подтвердите активацию правила.

После подтверждения правило снова вступит в действие.

Если у вас нет утилиты MWS CLI:
1. Установите утилиту.
2. Инициализируйте профиль.

Выполните команду:

1
mws vpc firewall-rule update <имя правила> \
2
  --network <имя сети> \
3
  --active

1
kind: vpc/v1/firewallRule
2
metadata:
3
    createTime: "2025-06-16T03:37:56Z"
4
    description: <описание правила>
5
    displayName: <имя правила>
6
    etag: 5f47ef7d16b0489299c138ae7505ae25
7
    generation: 1
8
    id: projects/<имя проекта>/networks/<имя сети>/firewallRules/<имя правила>
9
    name: <имя правила>
10
    updateTime: "2025-06-16T03:37:56Z"
11
spec:
12
    action: DENY
13
    active: true
14
    destination:
15
        spec:
16
            cidrs:
17
                - 0.0.0.0/0
18
    direction: EGRESS
19
    priority: 2000
20
    protoPorts:
21
        - TCP:25
22
        - TCP:587
23
    source:
24
        spec:
25
            cidrs:
26
                - 0.0.0.0/0
27
status:
28
    active: true
29
    priority: 2000
30
    ready:
31
        state: PROCESSING

Убедитесь, что у вас есть IAM-токен для авторизации запроса.Если нет, получите его.

Выполните запрос:

1
curl -X POST https://vpc.mwsapis.ru/vpc/v1/projects/<имя проекта>/networks/<имя сети>/firewallRules/<имя правила> \
2
  -H "Authorization: Bearer <IAM-токен>" \
3
  -H "Content-Type: application/json" \
4
  -d '{
5
   "spec":{
6
      "active":true
7
   }
8
}'

Если правило было активировано успешно, вы получите ответ с кодом 200 OK.

Удалить правило

Веб-консоль
MWS CLI
API

В веб-консоли выберите нужный проект.
В списке сервисов выберите Virtual Private Cloud → Сети.
Выберите сеть, для которой нужно удалить правило.
Перейдите на вкладку Правила firewall.
Нажмите на значок ... для удаляемого правила и выберите Удалить.
Подтвердите удаление.

Если у вас нет утилиты MWS CLI:
1. Установите утилиту.
2. Инициализируйте профиль.
Выполните команду:
bash
```
1
mws vpc firewall-rule delete <имя правила> --network <имя сети>
```
В случае успешного удаления на экран будет выведен ответ success.

Убедитесь, что у вас есть IAM-токен для авторизации запроса.Если нет, получите его.

Выполните запрос:

1
curl -X DELETE https://vpc.mwsapis.ru/vpc/v1/projects/<имя проекта>/networks/<имя сети>/firewallRules/<имя правила> \
2
  -H "Authorization: Bearer <IAM-токен>" \
3
  -H "Content-Type: application/json"