ESXi防火墙规则配置
本文将来讨论在ESXi主机上打开和关闭防火墙端口的各种方法。考虑配置防火墙规则是否有害是毫无意义的,因为每个管理员都需要对网络进行微调来分配访问权限。所以,你应该知道所有你可以使用的工具。
点击阅读原文
通过vSphere Client配置防火墙规则
这种方法非常简单,即使是初学者也能掌握。但是,需要使用VMware vCenter才能实现这一点,因此对于最初不需要vCenter的小型基础架构而言,它没有用。
因此,要配置防火墙,请打开Web控制台,然后选择一个主机。然后,在属性栏中,选择Monitor,在Firewall中,只需找到所需的规则并检查其当前设置。要编辑这些设置,请选择“编辑”。此外,作为示例,我将为DHCP客户端使用防火墙规则配置。
要打开/关闭规则,只需做一个标记。在此过程中使用技巧,设置此规则涵盖的地址和地址范围(带有网络前缀的子网地址)。使用相应的标记,允许或拒绝所有IP地址的访问。根据这条规则。
通过vSphere Client登录单台主机配置防火墙规则
这种方法与上一种方法一样简单易懂,但是由于不需要vCenter,因此它可以在任何基础架构中使用,设置位置将有所不同。
要配置防火墙,选择Navigator。然后,在“Firewall rules”选项卡中,找到所需规则的名称,并检查其当前设置。要编辑这些设置,请选择“Edit”,并进行必要的调整,以便配置此特定规则的设置。
按照前面的示例继续进行配置。
可以通过Action或鼠标右键来打开/关闭规则。
通过PowerCli配置防火墙规则
如果不了解这种方法,将无法使用脚本自动化整个过程。对于以下操作,PowerCLI模块是必需的,它是一个针对Windows的PowerShell扩展。作为PowerShell扩展,该模块也可以安装在Linux上,这里就不做描述了。
首先,使用PowerCli通过主机登录凭据连接ESXi主机。PowerShell将要求使用本地帐户的名称和密码。
#Connect-VIServer<’ESXiHost Name orIP’>
找到主机的所有规则列表。然后,找到所需规则的名称并检查其设置。
#Get-VMHostFirewallException-VMHost<’ESXiHost Name orIP’>
要打开该规则,请使用以下命令:
#Get-VMHostFirewallException-VMHost<’ESXiHost Name orIP’>-Name’DHCP Client’|Set-VMHostFirewallException-Enabled$true
要继续,需要使用ESXCLI命令
#$cli=Get-Esxcli-VMhost<’ESXiHost Name orIP’>
在防火墙规则列表中找到要找的规则。要注意,其名称不同于PowerCLI和Web控制台中列出的名称。
#$cli.network.firewall.ruleset.List()
检查防火墙规则列表中可用的网络地址。
#$cli.network.firewall.ruleset.allowedip.List
拒绝来自所有IP地址的访问。
# c l i . n e t w o r k . f i r e w a l l . r u l e s e t . s e t ( cli.network.firewall.ruleset.set( cli.network.firewall.ruleset.set(false,$true,“dhcp”)
添加规则允许的IP地址范围。
#$cli.network.firewall.ruleset.allowedip.add("<’IP addressor subnet IP address’>",“dhcp”)
通过ESXCLI配置防火墙规则
这种方法与前一种的第二部分非常相似,但是有区别。我经常使用putty来连接主机。
获取防火墙规则的列表。注意:不需要在命令之间添加任何其他符号。
#esxcli network firewall ruleset list
选择所需的规则。
#esxclinetwork firewall ruleset set–ruleset-id"dhcp"–enabled"true"
检查规则是否打开。
#esxclinetwork firewall ruleset list–ruleset-id"dhcp"
关闭All connectionsfrom all IP addresses 。如果不禁用此选项,ESXCLI将不允许对指定地址或此规则的地址组进行访问。
#esxcli network firewall ruleset set–allowed-all false–ruleset-id"dhcp"
使用子网掩码添加所需的子网。
#esxcli network firewall ruleset allowedip add --ip-address “<’IP address, subnet IP address’>” --ruleset-id “dhcp”
检查结果
#esxclinetwork firewall ruleset allowedip list
希望本文对你有用!
相关阅读:
ESXi主机上的NIC负载均衡:ESXCLI是首选
ESXi root 密码重置
如何在vSAN上安装ESXi?一条命令行就搞定!
ESXi 系统tmp目录100%,导致系统无响应,如何拯救?
扫码关注公众号,获取更多技术解决方案!