Dovoľte mi pripomenúť, že v systéme ESXi 5.0 prešiel systém brány firewall významnými zmenami a jeho funkčnosť takmer zodpovedá funkčnosti tímu. esxcfg-firewall v ESX Service Console. Na prístup k nastaveniam brány firewall môžete použiť príkaz: esxcli sieť firewall. Server ESXi 5 už predvolene obsahuje niekoľko preddefinovaných pravidiel brány firewall pre služby, ktoré môžete povoliť alebo zakázať.
Kompletný zoznam štandardných pravidiel brány firewall je možné zobraziť pomocou príkazu:
Zoznam pravidiel siete firewallu esxcli
Okrem toho si v ESXi 5 môžete vytvoriť vlastné pravidlo brány firewall pre sieťovú službu. Bohužiaľ, pomocou nástroja esxcli sa to nedá urobiť a budeme musieť upraviť konfiguračný súbor pomocou pravidiel brány firewall. Konfiguračné súbory popisujúce pravidlá brány firewall sú uložené v adresári /atď /vmware /firewall / . Napríklad, ak je povolená služba FDM, v tomto adresári nájdete súbor FDM.xml, obsahujúci približne nasledujúcu štruktúru XML.
|
Tento súbor XML popisuje názov pravidla pre bránu firewall, zobrazuje tiež porty a typy portov, protokoly a smer prenosu pre túto službu..
Ďalej sa pokúsime vytvoriť vlastné pravidlo pre firewall ESXi, povedzme mu „prakticky". Toto pravidlo by malo otvoriť port TCP 1337 a port UDP 20120 pre prichádzajúcu a odchádzajúcu komunikáciu. Ak to chcete urobiť, vytvorte nový súbor XML s názvom /atď /vmware /firewall /prakticky.xml. Súbor XML bude mať nasledujúcu štruktúru:
|
Ďalej reštartujte bránu firewall, aby ste aktualizovali zoznam pravidiel a znova zobrazte zoznam dostupných pravidiel:
Obnovenie sieťového firewallu esxcli
Zoznam pravidiel siete firewallu esxcli
Ako vidíte, nový sa objavil v zozname pravidiel s názvom prakticky. Aktuálne nastavenia pravidiel je možné zobraziť pomocou príkazu:
Zoznam pravidiel pravidiel siete firewall esxcli grep prakticky
Nový firewall ESXi má tiež možnosť zadať konkrétnu IP adresu alebo rozsah IP adries, ktoré sa môžu pripojiť k určitej službe. V nasledujúcom príklade zakážeme pripojenie k virtuálnej službe opísanej v našom pravidle všade okrem siete 172.80.0.0/24:
Sada pravidiel sieťového firewallu esxcli --allowed-all false --ruleset-id = virtuálne
sada pravidiel firewallu esxcli allowip add --ip-address = 172.80.0.0 / 24 --ruleset-id = doslova
Nové pravidlá brány firewall budú k dispozícii aj v klientskom rozhraní vSphere (časť Konfigurácia, časť zabezpečenia Profile ).
