Vytvořte si vlastní pravidla pro firewall v ESXi 5.0

Dovolte mi, abych vám připomněl, že v systému ESXi 5.0 prošel systém brány firewall významnými změnami a jeho funkčnost téměř odpovídá funkčnosti týmu.    esxcfg-firewall v ESX Service Console. Chcete-li získat přístup k nastavení brány firewall, můžete použít příkaz: esxcli síť firewall. Server ESXi 5 již ve výchozím nastavení obsahuje řadu předdefinovaných pravidel brány firewall pro služby, které můžete povolit nebo zakázat.

Úplný seznam standardních pravidel brány firewall lze zobrazit příkazem:

Seznam pravidel síťového firewallu esxcli

Kromě toho si v ESXi 5 můžete vytvořit vlastní pravidlo brány firewall pro síťovou službu. Bohužel, pomocí nástroje esxcli to nelze udělat a budeme muset upravit konfigurační soubor pomocí pravidel brány firewall. Konfigurační soubory popisující pravidla brány firewall jsou uloženy v adresáři /atd /vmware /firewall / .  Pokud je například povolena služba FDM, najdete v tomto adresáři soubor fdm.xml,  obsahující přibližně následující strukturu XML.

fdm

příchozí

tcp

dst

8182

odchozí

tcp

dst

8182

příchozí

udp

dst

8182

odchozí

udp

dst

8182

nepravdivé

nepravdivé

Tento soubor XML popisuje název pravidla brány firewall, zobrazuje také porty a typy portů, protokoly a směr provozu této služby..

Dále se pokusíme vytvořit vlastní pravidlo pro firewall ESXi, řekněme to „prakticky". Toto pravidlo by mělo otevřít port TCP 1337 a port UDP 20120 pro příchozí a odchozí provoz. Chcete-li to provést, vytvořte nový soubor XML s názvem /atd /vmware /firewall /prakticky.xml. Soubor XML bude mít následující strukturu:

prakticky

příchozí

tcp

dst

1337

odchozí

tcp

dst

1337

příchozí

udp

dst

20120

odchozí

udp

dst

20120

nepravdivé

nepravdivé

Dále restartujte firewall, abyste aktualizovali seznam pravidel a znovu zobrazili seznam dostupných pravidel:

Obnovení síťového firewallu esxcli
Seznam pravidel síťového firewallu esxcli

Jak vidíte, v seznamu pravidel se jménem se objevilo nové prakticky. Aktuální nastavení pravidla lze zobrazit příkazem:

Seznam pravidel pravidel sítě firewall esxcli | grep virtuálně

Nový firewall ESXi má také možnost určit konkrétní IP adresu nebo rozsah IP adres, které mají povoleno připojení k určité službě. V následujícím příkladu zakážeme připojení k virtuální službě popsané v našem pravidle všude kromě sítě 172.80.0.0/24:

Sada pravidel sítě firewall esxcli --allowed-all false --ruleset-id = virtuálně
sada pravidel firewallu esxcli allowip add --ip-address = 172.80.0.0 / 24 --ruleset-id = doslova

Nová pravidla brány firewall budou k dispozici také v klientském rozhraní vSphere (sekce Konfigurace, část Zabezpečení Profil ).