Biarkan saya mengingatkan Anda bahwa di ESXi 5.0, sistem firewall telah mengalami perubahan signifikan, dan fungsinya hampir sesuai dengan fungsionalitas tim esxcfg-firewall di Konsol Layanan ESX. Untuk mengakses pengaturan firewall, Anda dapat menggunakan perintah: esxcli jaringan firewall. Secara default, server ESXi 5 sudah memiliki sejumlah aturan firewall yang telah ditentukan sebelumnya untuk layanan yang dapat Anda aktifkan atau nonaktifkan.
Daftar lengkap aturan firewall standar dapat ditampilkan menggunakan perintah:
daftar aturan firewall jaringan esxcli
Selain itu, di ESXi 5, Anda dapat membuat aturan firewall sendiri untuk layanan jaringan. Sayangnya, menggunakan utilitas esxcli ini tidak dapat dilakukan, dan kita harus mengedit file konfigurasi dengan aturan firewall. File konfigurasi yang menjelaskan aturan firewall disimpan dalam direktori /dll /vmware /firewall / . Misalnya, jika layanan FDM diaktifkan, maka dalam direktori ini Anda akan menemukan file fdm.xml, mengandung sekitar struktur XML berikut.
|
File XML ini menjelaskan nama aturan untuk firewall, juga menunjukkan port dan jenis port, protokol, dan arah lalu lintas untuk layanan ini.
Selanjutnya, kita akan mencoba membuat aturan sendiri untuk firewall ESXi, sebut saja "sebenarnya". Aturan ini harus membuka port TCP 1337 dan port UDP 20120 untuk lalu lintas inbound dan outbound. Untuk melakukan ini, buat file XML baru dengan nama /dll /vmware /firewall /sebenarnya.xml. File XML akan memiliki struktur berikut:
|
Selanjutnya, restart firewall untuk memperbarui daftar aturan dan sekali lagi menampilkan daftar aturan yang tersedia:
menyegarkan firewall jaringan esxcli
daftar aturan firewall jaringan esxcli
Seperti yang Anda lihat, yang baru telah muncul di daftar aturan dengan nama sebenarnya. Pengaturan aturan saat ini dapat dilihat menggunakan perintah:
daftar aturan aturan firewall jaringan esxcli | grep secara virtual
Firewall ESXi yang baru juga memiliki kemampuan untuk menentukan alamat IP tertentu atau kisaran alamat IP yang diizinkan untuk terhubung ke layanan tertentu. Dalam contoh berikut, kami akan melarang koneksi ke layanan yang sebenarnya dijelaskan dalam aturan kami di mana pun kecuali untuk jaringan 172.80.0.0/24:
esxcli network set aturan firewall --allowed-all false --ruleset-id = secara virtual
esxcli aturan firewall jaringan diizinkanip tambahkan --ip-address = 172.80.0.0 / 24 --ruleset-id = hampir
Aturan firewall baru juga akan tersedia di antarmuka klien vSphere (bagian Konfigurasi, bagian Keamanan Profil ).
