Найти в Дзене
Лаборатория сисадмина
7404 подписчика

ESXi 7.0 Firewall

194
1 мин
В гипервизоре ESXi имеется встроенный Firewall. В нём предустановлен ряд правил, удовлетворяющих разработанному функционалу. Firewall по умолчанию включён. Часть правил отключена и включается только с запуском соответствующего сервиса. Частичное управление правилами доступно в GUI, больше возможностей даёт esxcli. Я работаю в ESXi 7.0. GUI Configure → System → Firewall. Здесь имеется две вкладки, в которых удобно просматривать текущие входящие и исходящие правила. Удобно смотреть используемые службами порты, если вдруг вы забыли. Кнопка EDIT позволяет правилами управлять. Галками включаем или отключаем правила. Есть фильтр для поиска. SSH порты зачем-то вынесены в отдельную вкладку. SNMP тоже... Если развернуть правило, то можно ограничить доступ определённому списку IP адресов, по умолчанию разрешены все IP адреса. Данным функционалом ограничено управление Firewall в GUI. ESXCLI Через консоль у нас больше вариантов действий. Сразу полезная команда для отключения Firewall: esxcli netwo
Оглавление

В гипервизоре ESXi имеется встроенный Firewall. В нём предустановлен ряд правил, удовлетворяющих разработанному функционалу. Firewall по умолчанию включён. Часть правил отключена и включается только с запуском соответствующего сервиса.

Частичное управление правилами доступно в GUI, больше возможностей даёт esxcli. Я работаю в ESXi 7.0.

GUI

Configure → System → Firewall. Здесь имеется две вкладки, в которых удобно просматривать текущие входящие и исходящие правила.

-2

Удобно смотреть используемые службами порты, если вдруг вы забыли.

-3

Кнопка EDIT позволяет правилами управлять. Галками включаем или отключаем правила. Есть фильтр для поиска.

-4

SSH порты зачем-то вынесены в отдельную вкладку.

-5

SNMP тоже...

-6

Если развернуть правило, то можно ограничить доступ определённому списку IP адресов, по умолчанию разрешены все IP адреса.

-7

Данным функционалом ограничено управление Firewall в GUI.

ESXCLI

Через консоль у нас больше вариантов действий.

Сразу полезная команда для отключения Firewall:

esxcli network firewall set --enabled false

И для включения:

esxcli network firewall set --enabled true

Если что-то не работает, можно отключить Firewall и сразу поймём, в нём проблема или нет.

Описание команд

https://docs.vmware.com/en/VMware-vSphere/7.0/com.vmware.vsphere.security.doc/GUID-7A8BEFC8-BF86-49B5-AE2D-E400AAD81BA3.html

-8

Создание собственных правил

Процесс создания собственных правил описан здесь:

https://kb.vmware.com/s/article/2008226

Начиная с ESXi 7.0 создавать собственные наборы правил Firewall запретили. При этом предложили обходной способ:

  1. Скопировать файл с правилами на отдельный datastore.
  2. Добавить свои изменения в скопированный файл.
  3. В /etc/rc.local.d/local.sh добавить команду на копирование с заменой основного файла.
  4. Чтобы принудительно сохранить эту команду при перезагрузках хоста, команда должна быть добавлена вручную в /etc/rc.local.d/local.sh файл на сервере ESXi.

Это настолько кривое решение, что даже пробовать его не хочется. Тем более нужно отдельное хранилище.

Альтернатива — создание собственного VIB пакета для внесения изменений в Firewall. Но это уже другая история.

Источник:

internet-lab.ru
ESXi 7.0 Firewall | internet-lab.ru

💰 Поддержать проект

Если вам понравилась статья, то ставьте 👍🏻 каналу.
Пишите комментарии, задавайте вопросы, подписывайтесь.

4
Гаджеты и электроника
5,73 млн интересуются