Dovolte mi, abych vám připomněl, že v systému ESXi 5.0 prošel systém brány firewall významnými změnami a jeho funkčnost téměř odpovídá funkčnosti týmu. esxcfg-firewall v ESX Service Console. Chcete-li získat přístup k nastavení brány firewall, můžete použít příkaz: esxcli síť firewall. Server ESXi 5 již ve výchozím nastavení obsahuje řadu předdefinovaných pravidel brány firewall pro služby, které můžete povolit nebo zakázat.
Úplný seznam standardních pravidel brány firewall lze zobrazit příkazem:
Seznam pravidel síťového firewallu esxcli
Kromě toho si v ESXi 5 můžete vytvořit vlastní pravidlo brány firewall pro síťovou službu. Bohužel, pomocí nástroje esxcli to nelze udělat a budeme muset upravit konfigurační soubor pomocí pravidel brány firewall. Konfigurační soubory popisující pravidla brány firewall jsou uloženy v adresáři /atd /vmware /firewall / . Pokud je například povolena služba FDM, najdete v tomto adresáři soubor fdm.xml, obsahující přibližně následující strukturu XML.
|
Tento soubor XML popisuje název pravidla brány firewall, zobrazuje také porty a typy portů, protokoly a směr provozu této služby..
Dále se pokusíme vytvořit vlastní pravidlo pro firewall ESXi, řekněme to „prakticky". Toto pravidlo by mělo otevřít port TCP 1337 a port UDP 20120 pro příchozí a odchozí provoz. Chcete-li to provést, vytvořte nový soubor XML s názvem /atd /vmware /firewall /prakticky.xml. Soubor XML bude mít následující strukturu:
|
Dále restartujte firewall, abyste aktualizovali seznam pravidel a znovu zobrazili seznam dostupných pravidel:
Obnovení síťového firewallu esxcli
Seznam pravidel síťového firewallu esxcli
Jak vidíte, v seznamu pravidel se jménem se objevilo nové prakticky. Aktuální nastavení pravidla lze zobrazit příkazem:
Seznam pravidel pravidel sítě firewall esxcli | grep virtuálně
Nový firewall ESXi má také možnost určit konkrétní IP adresu nebo rozsah IP adres, které mají povoleno připojení k určité službě. V následujícím příkladu zakážeme připojení k virtuální službě popsané v našem pravidle všude kromě sítě 172.80.0.0/24:
Sada pravidel sítě firewall esxcli --allowed-all false --ruleset-id = virtuálně
sada pravidel firewallu esxcli allowip add --ip-address = 172.80.0.0 / 24 --ruleset-id = doslova
Nová pravidla brány firewall budou k dispozici také v klientském rozhraní vSphere (sekce Konfigurace, část Zabezpečení Profil ).