ESXi Firewall Management

Чтобы минимизировать риск нападения через интерфейс управления, ESXi включает брандмауэр между интерфейсом управления и сетью. Для гарантии целостности хоста, по умолчанию открыто небольшое количество портов. В документации vSphere по безопасности имеется информация как настроить брандмауэр и какие порты возможно, придется временно открыть в определенных случаях.

В данной статье приводятся примеры использования  сетевого брандмауэра Esxi в командной строке утилиты esxcli. К ESXi можно подключиться используя ssh, но  по умолчанию ssh доступ в Esxi отключен. Для его включения необходимо это сделать сразу после установки ESXi (локально подключившись в Customize System), либо включить правило доступа в GUI ESXi Firewall Management.

Ограничиваем Shell доступ:
Проверим статус firewall и статус правила sshServer.
esxcli  network firewall get
Default Action: DROP
Enabled: true
Loaded: true
esxcli  network firewall ruleset list —ruleset-id sshServer
Name Enabled
——— ——-
sshServer true

Включим правило  sshServer если оно выключено.
esxcli  network firewall ruleset set —ruleset-id sshServer —enabled true

Получим доступ к ESXi Shell и проверим статус на разрешение.
esxcli  network firewall ruleset allowedip list —ruleset-id sshServer
Ruleset Allowed IP Addresses
——— ———————
sshServer All

Сделаем статус разрешения allowedAll значения на запрет (false).
esxcli  network firewall ruleset set —ruleset-id sshServer —allowed-all false

Добавим разрешенные ip адреса .
esxcli  network firewall ruleset allowedip add —ruleset-id sshServer —ip-address 192.XXX.1.0/24
esxcli  network firewall ruleset allowedip add —ruleset-id sshServer —ip-address 192.XXX.1.5

Проверим лист разрешенных ip адресов.
esxcli network firewall ruleset allowedip list —ruleset-id sshServer

Ruleset Allowed IP Addresses
——— ——————————
sshServer 192.XXX.1.5, 192.XXX.1.0/24