Hadd emlékeztessem Önöket, hogy az ESXi 5.0-ban a tűzfalrendszer jelentős változásokon ment keresztül, és funkcionalitása szinte megfelel a csapat funkcionalitásának. esxcfg-tűzfal az ESX szervizkonzolon. A tűzfal beállításainak eléréséhez használhatja a következő parancsot: esxcli hálózat tűzfal. Alapértelmezés szerint az ESXi 5 szervernek már számos előre definiált tűzfalszabálya van a szolgáltatások számára, amelyeket engedélyezhet vagy letilthat..
A standard tűzfalszabályok teljes listája megjeleníthető a következő paranccsal:
esxcli hálózati tűzfal szabálykészlet-lista
Ezenkívül az ESXi 5 alkalmazásban létrehozhat saját tűzfalszabályt egy hálózati szolgáltatáshoz. Sajnos az esxcli segédprogrammal ezt nem lehet megtenni, és a konfigurációs fájlt a tűzfalszabályokkal kell szerkesztenünk. A tűzfalszabályokat leíró konfigurációs fájlokat egy könyvtár tárolja /stb /vmware /tűzfal / . Például, ha az FDM szolgáltatás engedélyezve van, akkor ebben a könyvtárban megtalálja a fájlt FDM.xml, megközelítőleg a következő XML struktúrát tartalmazza.
|
Ez az XML fájl leírja a tűzfal szabályának nevét, ezenkívül megmutatja a szolgáltatás portjait és porttípusait, protokolljait és forgalmi irányát is..
Ezután megpróbáljuk létrehozni a saját szabályt az ESXi tűzfalhoz, hívjuk “gyakorlatilag”. Ennek a szabálynak meg kell nyitnia a 1337 TCP portot és a 20120 UDP portot a bejövő és kimenő forgalom számára. Ehhez hozzon létre egy új XML fájlt a névvel /stb /vmware /tűzfal /gyakorlatilag.xml. Az XML fájl szerkezete a következő:
|
Ezután indítsa újra a tűzfalat a szabályok listájának frissítéséhez, és ismét megjelenítse az elérhető szabályok listáját:
Esxcli hálózati tűzfal frissítése
esxcli hálózati tűzfal szabálykészlet-lista
Mint láthatja, egy új megjelent a szabályok listáján a névvel gyakorlatilag. Az aktuális szabályok a következő paranccsal tekinthetők meg:
esxcli hálózati tűzfal szabálykészlet szabályok listája | grep gyakorlatilag
Az új ESXi tűzfal képes meghatározni egy adott IP-címet vagy IP-címek tartományát, amelyek megengedettek egy adott szolgáltatáshoz kapcsolódni. A következő példában mindenütt megtiltjuk a szabályban leírt gyakorlati szolgáltatáshoz való kapcsolódást, a 172.80.0.0/24 hálózat kivételével:
az esxcli hálózati tűzfalszabálykészlet - engedélyezett-minden hamis --ruleset-id = gyakorlatilag
esxcli hálózati tűzfalszabályok engedélyezettip hozzáadás --ip-address = 172.80.0.0 / 24 --ruleset-id = gyakorlatilag
Új tűzfalszabályok szintén elérhetők lesznek a vSphere kliens felületen (Konfiguráció szakasz, szakasz) biztonság Profil ).
