ESXi inclui um firewall que é ativado por padrão. No momento da instalação, o firewall ESXi é configurado para bloquear o tráfego de entrada e saída, exceto o tráfego para serviços ativados no perfil de segurança do host. Você gerencia o firewall usando o vSphere Client, a CLI e a API.

Ao abrir portas no firewall, considere que o acesso irrestrito aos serviços em execução em um host ESXi pode expor um host a ataques externos e acesso não autorizado. Reduza o risco configurando o firewall ESXi para permitir o acesso somente de redes autorizadas.

Observação: O firewall também permite pings ICMP (Internet Control Message Protocol) e comunicação com clientes DHCP e DNS (somente UDP).

Você pode gerenciar ESXi portas de firewall da seguinte forma:

  • Use Configurar (Configure) > Firewall para cada host no vSphere Client. Consulte Gerenciar configurações de firewall do ESXi.
  • Use comandos ESXCLI na linha de comando ou em scripts. Consulte Usando comandos de firewall ESXCLI para configurar o comportamento do ESXi.
  • Use um VIB personalizado se a porta que você deseja abrir não estiver incluída no perfil de segurança.

    Para instalar o VIB personalizado, você precisa alterar o nível de aceitação do host ESXi para CommunitySupported.

    Observação: Se você contratar o suporte técnico do VMware para investigar um problema em um host do ESXi com um VIB suportado pela comunidade instalado, o suporte do VMware poderá solicitar que você desinstale esse VIB. Essa solicitação é uma etapa de solução de problemas para determinar se esse VIB está relacionado ao problema que está sendo investigado.

O comportamento do conjunto de regras do Cliente NFS (nfsClient) é diferente de outros conjuntos de regras. Quando o conjunto de regras do Cliente NFS está habilitado, todas as portas TCP de saída são abertas para os hosts de destino na lista de endereços IP permitidos. Consulte Comportamento do firewall do cliente NFS para obter mais informações.

Gerenciar configurações de firewall do ESXi

Você pode configurar conexões de firewall de entrada e saída para um serviço ou um agente de gerenciamento do vSphere Client ou na linha de comando.

Esta tarefa descreve como usar o vSphere Client para definir as configurações de firewall do ESXi. Você pode usar os comandos ESXi Shell ou ESXCLI para configurar ESXi na linha de comando para automatizar a configuração do firewall. Consulte Usando comandos de firewall ESXCLI para configurar o comportamento do ESXi para obter exemplos de uso do ESXCLI para manipular firewalls e regras de firewall.

Observação: Se serviços diferentes tiverem regras de porta sobrepostas, a ativação de um serviço poderá ativar outros serviços implicitamente. Você pode especificar quais endereços IP têm permissão para acessar cada serviço no host para evitar esse problema.

Procedimento

  1. Faça login no vCenter Server usando o vSphere Client.
  2. Procure o host no inventário.
  3. Clique em Configurar (Configure) e, em seguida, clique em Firewall em Sistema.
    Você pode alternar entre conexões de entrada e saída clicando em Entrada (Incoming) e Saída (Outgoing).
  4. Na seção Firewall, clique em Editar (Edit).
  5. Selecione um dos grupos de serviços, Desagrupado (Ungrouped), Secure Shell e Simple Network Management Protocol.
  6. Selecione os conjuntos de regras a serem ativados ou desmarque os conjuntos de regras a serem desativados.
  7. Para alguns serviços, você também pode gerenciar os detalhes do serviço navegando para Configurar (Configure) > Sistema (System) > Serviços (Services).
    Para obter mais informações sobre como iniciar, interromper e reiniciar serviços, consulte Ativar ou desativar um serviço do ESXi.
  8. Para alguns serviços, você pode especificar explicitamente os endereços IP dos quais as conexões são permitidas.
  9. Clique em OK.

Adicionar endereços IP permitidos para um host ESXi

Por padrão, o firewall de cada serviço permite o acesso a todos os endereços IP. Para restringir o tráfego, altere cada serviço para permitir o tráfego somente da sua sub-rede de gerenciamento. Você também poderá desmarcar alguns serviços se o seu ambiente não os usar.

Para atualizar a lista de IPs permitidos para um serviço, você pode usar o vSphere Client, o ESXCLI ou o PowerCLI. Esta tarefa descreve como usar o vSphere Client. Consulte Gerenciar o ESXi Firewall em Conceitos e exemplos do ESXCLI para obter instruções sobre como usar o ESXCLI.

Procedimento

  1. Faça login no vCenter Server usando o vSphere Client.
  2. Navegue até o host ESXi.
  3. Clique em Configurar (Configure) e, em seguida, clique em Firewall em Sistema.
    Você pode alternar entre conexões de entrada e saída clicando em Entrada (Incoming) e Saída (Outgoing).
  4. Na seção Firewall, clique em Editar (Edit).
  5. Selecione um dos três grupos de serviços, Desagrupado (Ungrouped), Secure Shell e Simple Network Management Protocol.
  6. Para exibir a seção Endereços IP permitidos, expanda um serviço.
  7. Na seção Endereços IP permitidos, desmarque Permitir conexões de qualquer endereço IP (Allow connections from any IP address) e digite os endereços IP das redes que têm permissão para se conectar ao host.
    Separe os endereços IP com vírgulas. Você pode usar os seguintes formatos de endereço:
    • 192.168.0.0/24
    • 192.168.1.2, 2001::1/64
    • fd3e:29a6:0a81:e478::/64
  8. Certifique-se de que o próprio serviço esteja selecionado.
  9. Clique em OK.
  10. Verifique sua alteração na coluna Endereços IP permitidos para o serviço.

Portas de firewall de entrada e saída para hosts ESXi

O vSphere Client e o VMware Host Client permitem que você abra e feche portas de firewall para cada serviço ou permita o tráfego de endereços IP selecionados.

ESXi inclui um firewall que é ativado por padrão. No momento da instalação, o firewall ESXi é configurado para bloquear o tráfego de entrada e saída, exceto o tráfego para serviços ativados no perfil de segurança do host. Para obter a lista de portas e protocolos compatíveis no firewall ESXi, consulte o VMware Ports and Protocols Tool™ em https://ports.vmware.com/.

A ferramenta VMware Ports and Protocols lista informações de porta para serviços que são instalados por padrão. Se você instalar outros VIBs no host, serviços adicionais e portas de firewall poderão ficar disponíveis. As informações são principalmente para serviços visíveis no vSphere Client, mas a ferramenta VMware Ports and Protocols também inclui algumas outras portas.

Comportamento do firewall do cliente NFS

O conjunto de regras de firewall do Cliente NFS se comporta de maneira diferente de outros conjuntos de regras de firewall ESXi. ESXi define as configurações do Cliente NFS quando você monta ou desmonta um datastore NFS. O comportamento difere para diferentes versões do NFS.

Quando você adiciona, monta ou desmonta um datastore do NFS, o comportamento resultante depende da versão do NFS.

Comportamento do firewall do NFS v3

Quando você adiciona ou monta um datastore do NFS v3, o ESXi verifica o estado do conjunto de regras de firewall do Cliente NFS (nfsClient).

  • Se o conjunto de regras nfsClient for desativado, ESXi ativará o conjunto de regras e desativará a política Permitir Todos os Endereços IP definindo o sinalizador allowedAll como FALSE. O endereço IP do servidor NFS é adicionado à lista permitida de endereços IP de saída.
  • Se o conjunto de regras nfsClient estiver ativado, o estado do conjunto de regras e a política de endereço IP permitido não serão alterados. O endereço IP do servidor NFS é adicionado à lista permitida de endereços IP de saída.
Observação: Se você ativar manualmente o conjunto de regras nfsClient ou definir manualmente a política Permitir Todos os Endereços IP, antes ou depois de adicionar um repositório de dados NFS v3 ao sistema, suas configurações serão substituídas quando o último repositório de dados NFS v3 for desmontado. O conjunto de regras nfsClient é desativado quando todos os datastores NFS v3 são desmontados.

Quando você remove ou desmonta um datastore do NFS v3, o ESXi executa uma das seguintes ações.

  • Se nenhum dos repositórios de dados NFS v3 restantes estiver montado a partir do servidor do repositório de dados que está sendo desmontado, ESXi removerá o endereço IP do servidor da lista de endereços IP de saída.
  • Se nenhum datastores NFS v3 montado permanecer após a operação de desmontagem, o ESXi desativará o conjunto de regras de firewall nfsClient.

Comportamento do firewall do NFS v4.1

Quando você monta o primeiro datastore do NFS v4.1, ESXi ativa o conjunto de regras nfs41client e define seu sinalizador allowedAll como TRUE. Essa ação abre a porta 2049 para todos os endereços IP. A desmontagem de um datastore do NFS v4.1 não afeta o estado do firewall. Ou seja, a primeira montagem do NFS v4.1 abre a porta 2049 e essa porta permanece ativada, a menos que você a feche explicitamente.

Usando comandos de firewall ESXCLI para configurar o comportamento do ESXi

Se o seu ambiente incluir vários hosts ESXi, automatize a configuração do firewall usando os comandos ESXCLI ou o vSphere Web Services SDK.

Referência de comandos do firewall

Você pode usar os comandos ESXi Shell ou ESXCLI para configurar ESXi na linha de comando para automatizar uma configuração de firewall. Para manipular firewalls e regras de firewall, consulte Introdução ao ESXCLI para obter uma introdução e Conceitos e exemplos de ESXCLI para obter exemplos de uso do ESXCLI.

No ESXi 7.0 e posterior, o acesso ao arquivo service.xml, usado para criar regras de firewall personalizadas, é restrito. Consulte o VMware artigo da Base de conhecimento 2008226 para obter informações sobre como criar regras de firewall personalizadas usando o arquivo /etc/rc.local.d/local.sh.

Tabela 1. Comandos de firewall
Comando Descrição
esxcli network firewall get Retorne o status do firewall e liste as ações padrão.
esxcli network firewall set --default-action Defina como true para definir a ação padrão a ser aprovada. Defina como false para definir a ação padrão a ser descartada.
esxcli network firewall set --enabled Ative ou desative o firewall ESXi.
esxcli network firewall load Carregue o módulo de firewall e os arquivos de configuração do conjunto de regras.
esxcli network firewall refresh Atualize a configuração do firewall lendo os arquivos do conjunto de regras se o módulo de firewall estiver carregado.
esxcli network firewall unload Destrua os filtros e descarregue o módulo de firewall.
esxcli network firewall ruleset list Listar informações de conjuntos de regras.
esxcli network firewall ruleset set --allowed-all Defina como true para permitir todo o acesso a todos os IPs. Defina como false para usar uma lista de endereços IP permitidos.
esxcli network firewall ruleset set --enabled --ruleset-id=<string> Defina enabled como true para ativar o conjunto de regras especificado. Defina enabled como false para desativar o conjunto de regras especificado.
esxcli network firewall ruleset allowedip list Liste os endereços IP permitidos do conjunto de regras especificado.
esxcli network firewall ruleset allowedip add Permita o acesso ao conjunto de regras do endereço IP ou intervalo de endereços IP especificado.
esxcli network firewall ruleset allowedip remove Remova o acesso ao conjunto de regras do endereço IP ou intervalo de endereços IP especificado.
esxcli network firewall ruleset rule list Liste as regras de cada conjunto de regras no firewall.