UnixPower on Networking
  http://www.unix-power.net/

 
 Top - VMware - ESXi 5.5 Firewallの設定



■ESXi 5.5 Firewallの設定

ESXiにはデフォルトでFirewall機能が稼働しており、サービスごとにon/offや特定のIPからのみ可といった設定が可能となっています。設定箇所はvSphere Clientで「構成」-「セキュリティプロファイル」をクリックするとサービス一覧が表示されます。




さらに右上あたりのプロパティ画面をクリックすると各サービスごとのon/offを設定することが可能です。


画面したのファイアウォールボタンをクリックすると特定のIPからのみ受け付けるという設定が可能となります。大半のものは任意のIPアドレスからのアクセスを許可していますが、特定IPに絞りこむことが可能です。また、この設定で許可がされていなければサービスがオープンされていてもアクセスができないということになるので注意が必要です。


基本的にこれらの画面から確認することが可能ですがCLIからも一覧をリスト表示することが可能です。

# esxcli network firewall ruleset list
Name                Enabled
------------------  -------
sshServer              true
sshClient             false
nfsClient              true
dhcp                   true
dns                    true
snmp                   true
ntpClient             false
CIMHttpServer          true
CIMHttpsServer         true
CIMSLP                 true
iSCSI                 false
vpxHeartbeats          true
updateManager         false
faultTolerance         true
webAccess              true
vMotion                true
vSphereClient          true
activeDirectoryAll    false
NFC                    true
HBR                    true
ftpClient             false
httpClient            false
gdbserver             false
DVFilter              false
DHCPv6                false
DVSSync                true
syslog                false
IKED                  false
WOL                    true
vSPC                  false
remoteSerialPort      false
vprobeServer          false
rdt                    true
cmmds                  true
vsanvp                 true
rabbitmqproxy          true
ipfam                  true
fdm                    true

GUI画面からは項目のon/offは可能ですが、項目自体の追加はできないようになっています。項目自体を追加したい場合はCLIから/etc/vmware/firewall/service.xmlファイルを編集します。以下ではSMTPクライアントを許可するよう設定しています。

# cp /etc/vmware/firewall/service.xml /etc/vmware/firewall/service.xml.old
# chmod 644 /etc/vmware/firewall/service.xml
# chmod +t /etc/vmware/firewall/service.xml
# vi /etc/vmware/firewall/service.xml

[以下を追加]

<service id="0038">
<id>SMTPTCPOut</id>
<rule id='0000'>
<direction>outbound</direction>
<protocol>tcp</protocol>
<porttype>dst</porttype>
<port>25</port>
</rule>
<enabled>false</enabled>
<required>false</required>
</service>

最後のほうにあるenabledやrequiredに関してはルールセットが適用されたときにサービスが有効または無効のどちらになっているか ( 発信設定なのでfalse ) 、ルールセットが必須か否か、および無効にできないかという意味になります。

編集が完了したらそれを有効にするため以下のコマンドを実行します。

# chmod 444 /etc/vmware/firewall/service.xml
# esxcli network firewall refresh
# esxcli network firewall ruleset list

<省略>
SMTPTCPOut            false

GUIの画面からも項目が追加されたことを確認できます。



これでESXiからSMTP発信が可能となります。その他のサービスにおいても必要に応じて同様な手順で追加することが可能となります。


 Copyright(C) 2003-2015 UnixPower on Networking All rights reserved.