====== firewall toegang aanpassen======
[[aws:aws|{{ :aws:aws_logo_smile_1200x630.png?120|}}]]

===== context=====
dit document beschrijft hoe je op AWS firewall toegang instelt met behulp van **Security Groups**. Elke group bevat:
  - Description
  - Inbound rules
  - Outbound rules
  - Tags

Eigenlijk kun je dat zien als een aantal firewall regels die je tot een **groep** combineert die je later aan hosts kunt toekennen. 

===== Security Group aanmaken =====
  - meld aan op je [[https://signin.aws.amazon.com|AWS console]]
  - **Find Services**: **VPC** > **Security** > **Security Groups**
  - kies: **Create security group**
    - **Security group name**: geef een naam waaraan je makkelijk kunt aflezen wat de groep doet. Voorbeeld: service_poort \\ sshd_31280
    - **Description**: geef een korte omschrijving zodat je later nog weet wat de groep doet.
    - **VPC**: kies je VPC (veelal de standaard) \\ {{:aws:2019-09-13_11_02_33-create_security_group_vpc_management_console.png?400|}}
    - kies: **Create**, **Close**
    - klik op de nieuwe groep
      - Inboud rules: standaard laat die geen verkeer toe. Om inkomend verkeer door te laten:
        - **Edit rules** > **Add Rule**
        - geef **protocol**, **poortnummer** en **source** in. \\ {{:aws:2019-09-13_11_06_14-.png?400|}}
        - klik **Save rules**, **Close**
  - nu kan je deze groep toekennen aan je host:
    - ga naar je **EC2 Dashboad**, vink je **instance** aan
    - klik op de knop **Actions** > **Networking** > **Change Security Groups**
    - selecteer de security group, **Assign Security Groups**
  - controleer je toegang ahv telnet <code>
telnet <hostnaam> <poort> 
</code>
===== Security Group gebruiken =====
Je kan deze security groep nu gebruiken om:
  - hosts aan te koppelen: voor alle hosts die aan deze groep gekoppeld zijn, worden de gedefinieerde firewall regels actief.
  - als **source/destinations** voor andere firewall regels.. Alle hosts die lid zijn van die security group, zijn in dat geval bron/bestemming van andere firewall regels. \\ bv:  laat alleen SSH-verkeer op poort 22 toe **vanaf** de security group waarvan de 2 jumphosts lid zijn. 

====hosts koppelen aan een security group ====
  - open **EC1 Dashboard** > **Instances** > selecteer je instance
  - klik op de knop **Actions** > **Networking** > **Change Security Groups**
  - **vink** de Security Group **aan**
  - kies **Assign Security Groups**

====security group instellen als bron/bestemming ====
  - open **VPC Dashboard** > **Security Groups**
  - kopieer de **Group ID** van de Security Group die je wilt gebruiken
  - vink de Security Group die je wilt bewerken
  - kies het tabblad **Inboud rules**
    - **Source**: Custom
    - kopieer de **Group ID** in het veldje.
    - **Save Rules**
  - kies het tabblad **Outboud rules**
    - **Destination**: Custom
    - kopieer de **Group ID** in het veldje.
    - **Save Rules**

===== meer info =====
  * [[https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html|Amazon Security Groups]]

{{tag>AWS}}