Erlaubte Adresspaare
Erlaubte Adresspaare (Allowed Address Pairs) bilden einen Anti-Spoofing Filter auf Netzwerkports in der ScaleUp Open Cloud ab.
Funktionsweise
Standardmäßig erlauben Ports nur den Traffic von der korrekten IP-Adresse, welche auf dem Neutron Port festgelegt ist. ARP Spoofing wird hiermit vermieden.
Es gibt jedoch einige Fälle, wo von diesem Sicherheitsfeature abgewichen werden muss.
- Falls Sie VRRP, beispielweise Keepalived, verwenden müssen die Instanzen eine zusätzliche, virtuelle IP Adresse übernehmen.
- Bei dem Aufbau eines VPN-Tunnels, beispielweise mit Wireguard, muss Traffic, welcher von entfernten Netzbereichen kommt in das System kommen.
Allowed Address Pairs im Horizon hinzufügen
- Klicken Sie auf den Port (z. B. über eine Instanz -> Interfaces oder das Netzwerk -> Ports)
- Wählen Sie den Reiter "Allowed Address Pairs"
- Klicken Sie auf "+ Add Allowed Address Pair"
- Geben Sie eine IP-Adresse oder einen Netzbereich an und klicken Sie auf "Submit"
Das Feld "MAC Address" können sie leerlassen, um die bestehende MAC Adresse des Ports zu erlauben.
Allowed Address Pairs per CLI hinzufügen
Finden Sie die ID des Ports heraus (z. B. durch openstack port list) und verwenden Sie folgenden Befehl, um ein Adresspaar zu setzen:
openstack port set --allowed-address ip-address=192.168.0.254 <port_id>
In diesem Beispiel wird 192.168.0.254 als einzelne IP-Adresse erlaubt.
Weitere Informationen
- Bitte definieren Sie die Allowed Address Pairs so fein wie möglich.
- Es können einzelne Adressen oder Netzbereiche angegeben werden (CIDR-Notation)
- Maximal können 10 Adresspaare einem Port hinzugefügt werden
- Die Adressen dürfen nicht anderweitig verwendet werden (z. B. als Gateway Port oder für den
network:distributedPort)
Die Fehlermeldung IP addresses ... already used by the ... port(s) in the same network weist darauf hin, dass das angegebene Adresspaar mit einem Service Port (z. B. network:distributed) kollidiert.