Skip to content
2011/12/11 / vpourchet

VMware ESXi 5.0: Configurer le Firewall d’un hôte

    Pour configurer le firewall, commencer par se connecter au serveur hôteESXi 5.0 via SSH, pour ce faire, activer le SSH directement sur l’hôte (il est aussi possible de passer par la console de l’hôte).

    Pour lister les règles par défaut du firewall, entrer la commande :

# esxcli network firewall rulesetlist

    Pour créer des règlespersonnalisées, il suffit d’éditer le fichier présent sous /etc/vmware/firewall nommé service.xml, on peut l’éditer directement en utilisant VI via la commande :

# vi /etc/vmware/firewall/service.xml

    Pour rafraichir la configuration du firewall, entrer les commandes :

# esxcli network firewall refresh
# esxcli network firewall rulesetlist

    Si l’on souhaite configurer une plage d’adresses spécifiques pour un service particulier, il est possible de le faire via les commandes suivantes :

# esxcli network firewall ruleset set –allowed-all false –ruleset-id=<id de la regle>

NOTE: ceci désactive l’autorisation pour toutes les addressesip d’utiliser cette règle.


# esxcli network firewall rulesetallowedipadd –ip-address=172.30.0.0/24 –ruleset-id=<ID de la regle>

NOTE: la plage d’adresse au format xxx.xxx.xxx/xx se definit via le parameter –ip-address.


Pour agir sur les règles existantes, i les possible d’utiliser le vSphere Client.

    Pour ce faire, se connecter à l’hôteESXi.

    Sélectionner l’hôte dans l’inventaire, puis aller dans l’onglet Configuration.


    Dans la partie software, cliquer sur Security Profile.


    La partie Firewall affiche les règles existantes.


    Cliquer sur Properties.


    Pour activer/désactiver une règle, utiliser la checkbox de la règle correspondante. Noter une fois une règlesélectionnée le descriptif s’affichant en bas dans le panneau Service Properties.

    Pour definir une plage d’adresses specifiques a une regle, selectionner la regle puis cliquer sur le bouton Firewall.


    Choisir l’option OnlyAllow connections from the following networks et rentrer une plage d’adresse de format type:

xxx.xxx.xxx/xx

    Puis cliquer sur Ok.


    Le changement est pris en compte.

    Pour agir sur l’état du Firewall, utiliser le bouton Options.



    L’état du firewall est affiché dans la partie Status (stopped=arrêté, started=démarré). Il est également possible de définir une politique de démarrage pour le service parmi les choix suivants :

    – Start automatically if any ports are open, and stop when ports are closed (le service démarre quand l’un des ports définit dans une règle est ouvert et s’arrête quand celui-ci est fermé).

    – Start and stop with host (démarre et s’arrête en même temps que l’hôte).

    – Start and stop manually (démarre et arête manuellement).

    Enfin, il est possible d’agir directement sur l’état du service en utilisant les boutons de commandes :

    – Start (démarre le service).

    – Stop (arrête le service).

    – Restart (redémarre le service).

2 commentaires

Laisser un commentaire
  1. Anonyme / Avr 20 2012 10:19

    bonjour

    visiblement l’edition du fichier service.xml n’est pas permise ! il faut créer un fichier xxx.xml ayant comme modèle :

    messagerie

    outbound
    tcp
    dst
    25

    false
    false

    li fichier est a placé dans « /etc/vmware/firewall »

    pour le reste c’est OK

    • vpourchet / Avr 29 2012 10:17

      Bonjour,

      Merci pour ce complément.

      Cordialement,

      V

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s

%d blogueurs aiment cette page :