Podsjetim da je u programu ESXi 5.0 sustav vatrozida pretrpio značajne promjene, a njegova funkcionalnost gotovo odgovara funkcionalnosti tima esxcfg-vatrozid na ESX servisnoj konzoli. Za pristup postavkama vatrozida možete koristiti naredbu: esxcli mreža vatrozid. ESXi 5 poslužitelj već ima niz unaprijed definiranih pravila vatrozida za usluge koje možete omogućiti ili onemogućiti..
Potpuni popis standardnih pravila vatrozida može se prikazati pomoću naredbe:
popis pravila pravila zaštitnog zida esxcli mreže
Osim toga, u ESXi 5, možete stvoriti vlastito pravilo vatrozida za mrežnu uslugu. Nažalost, pomoću esxcli uslužnog programa to se ne može učiniti i morat ćemo urediti konfiguracijsku datoteku s pravilima vatrozida. Konfiguracijske datoteke koje opisuju pravila vatrozida pohranjuju se u mapu /itd. /vmware /vatrozid / . Na primjer, ako je omogućena usluga FDM, tada ćete u toj mapi pronaći datoteku FDM.xML, koja sadrži otprilike sljedeću XML strukturu.
|
Ova XML datoteka opisuje naziv pravila za vatrozid, također prikazuje portove i vrste priključaka, protokole i smjer prometa za ovu uslugu.
Zatim ćemo pokušati stvoriti vlastito pravilo za vatrozid ESXi, nazovimo ga „praktično”. Ovo pravilo treba otvoriti TCP priključak 1337 i UDP ulaz 20120 za ulazni i odlazni promet. Da biste to učinili, stvorite novu XML datoteku s nazivom /itd. /vmware /vatrozid /praktično.xML. XML datoteka će imati sljedeću strukturu:
|
Zatim ponovo pokrenite vatrozid da biste ažurirali popis pravila i još jednom prikazali popis dostupnih pravila:
osvježiti firewall mreže mreže esxcli
popis pravila pravila zaštitnog zida esxcli mreže
Kao što vidite, na popisu pravila s imenom se pojavila nova praktično. Trenutne postavke pravila mogu se pregledati pomoću naredbe:
Popis pravila pravila zaštitnog zida esxcli mreže | grep virtualno
Novi ESXi vatrozid također ima mogućnost specificiranja određene IP adrese ili raspona IP adresa kojima je dopušteno povezivanje s određenom uslugom. U sljedećem ćemo primjeru zabraniti povezivanje s gotovo uslugom opisanom u našem pravilu svugdje osim na mrežu 172.80.0.0/24:
postavljen skup pravila vatrozida esxcli mreže - dozvoljeno-sve lažno --ruleset-id = virtualno
esxcli mrežni set vatrozida dozvoljen je setipip --ip-adresa = 172.80.0.0 / 24 --ruleset-id = virtualno
Nova pravila vatrozida također će biti dostupna u vSphere sučelju klijenta (odjeljak Konfiguracija, odjeljak sigurnosti profil ).
