Naj vas spomnim, da je v sistemu ESXi 5.0 požarni zid doživel pomembne spremembe, njegova funkcionalnost pa skoraj ustreza funkcionalnosti ekipe esxcfg-požarni zid v storitvi ESX Service Console. Za dostop do nastavitev požarnega zidu lahko uporabite ukaz: esxcli omrežje požarni zid. Strežnik ESXi 5 ima privzeto že več vnaprej določenih pravil požarnega zidu za storitve, ki jih lahko omogočite ali onemogočite.
Popoln seznam standardnih pravil požarnega zidu se lahko prikaže z ukazom:
seznam pravil za požarni zid omrežja esxcli
Poleg tega lahko v ESXi 5 ustvarite svoje pravilo požarnega zidu za omrežno storitev. Na žalost s pomočjo pripomočka esxcli tega ni mogoče storiti, zato bomo morali urediti konfiguracijsko datoteko s pravili požarnega zidu. Konfiguracijske datoteke, ki opisujejo pravila požarnega zidu, so shranjene v imeniku /itd /vmware /požarni zid / . Če je na primer omogočena storitev FDM, potem v tem imeniku najdete datoteko fdm.xml, ki vsebuje približno naslednjo strukturo XML.
|
Ta datoteka XML opisuje ime pravila za požarni zid, prikazuje tudi vrata in vrste vrat, protokole in smer prometa za to storitev.
Nato bomo poskušali ustvariti lastno pravilo za požarni zid ESXi, poimenujemo ga "praktično". To pravilo bi moralo odpreti vrata TCP 1337 in vrata UDP 20120 za vhodni in odhodni promet. Če želite to narediti, ustvarite novo datoteko XML z imenom /itd /vmware /požarni zid /praktično.xml. Datoteka XML ima naslednjo strukturo:
|
Nato znova zaženite požarni zid, da posodobite seznam pravil in še enkrat prikažete seznam razpoložljivih pravil:
osveži omrežni požarni zid esxcli
seznam pravil za požarni zid omrežja esxcli
Kot vidite, se je na seznamu pravil z imenom pojavila nova praktično. Trenutne nastavitve pravil si lahko ogledate z ukazom:
seznam pravil o požarnem zidu za esxcli | grep praktično
Novi požarni zid ESXi ima tudi možnost, da določi določen naslov IP ali obseg naslovov IP, ki jih je mogoče povezati z določeno storitvijo. V naslednjem primeru bomo prepovedali povezovanje s praktično storitvijo, opisano v našem pravilu, povsod, razen z omrežjem 172.80.0.0/24:
esxcli set orodij za požarni zid - dovoljeno-vse napačno --ruleset-id = praktično
dovoljeno nastavitev pravilnika požarnega zidu za omrežje esxcli addip --ip-naslov = 172.80.0.0 / 24 --ruleset-id = praktično
Nova pravila požarnega zidu bodo na voljo tudi v odjemalskem vmesniku vSphere (razdelek Konfiguracija, razdelek Varnost Profil ).
