Wenn Ihre Umgebung mehrere ESXi-Hosts umfasst, wird empfohlen, die Firewall-Konfiguration anhand von ESXCLI-Befehlen oder mit dem vSphere Web Services SDK zu automatisieren.
Firewall-Befehlsreferenz
Sie können die ESXi Shell- oder vSphere CLI-Befehle verwenden, um ESXi an der Befehlszeile zu konfigurieren und die Firewall-Konfiguration zu automatisieren. Unter Erste Schritte mit vSphere-Befehlszeilenschnittstellen finden Sie eine Einführung. vSphere Command-Line Interface Concepts and Examples enthält Beispiele für die Verwendung von ESXCLI für den Umgang mit Firewalls und Firewall-Regeln. Informationen zum Erstellen benutzerdefinierter Firewall-Regeln finden Sie im VMware-Knowledgebase-Artikel 2008226.
Befehl | Beschreibung |
---|---|
esxcli network firewall get | Gibt den aktivierten oder deaktivierten Status der Firewall zurück und listet die Standardaktionen auf. |
esxcli network firewall set --default-action | Legen Sie „true“ fest, um die Standardaktion auszuführen. Legen Sie „false“ fest, um die Standardaktion nicht auszuführen. |
esxcli network firewall set --enabled | Aktiviert bzw. deaktiviert die ESXi-Firewall. |
esxcli network firewall load | Lädt die Firewallmodul- und Regelsatz-Konfigurationsdateien. |
esxcli network firewall refresh | Aktualisiert die Firewall-Konfiguration durch das Einlesen der Regelsatzdateien, wenn das Firewallmodul geladen ist. |
esxcli network firewall unload | Löscht Filter und entlädt das Firewallmodul. |
esxcli network firewall ruleset list | Listet Informationen zu Regelsätzen auf. |
esxcli network firewall ruleset set --allowed-all | Legen Sie „true“ fest, um den Zugriff auf alle IP-Adressen zu erlauben. Legen Sie „false“ fest, um eine Liste mit zulässigen IP-Adressen zu verwenden. |
esxcli network firewall ruleset set --enabled --ruleset-id=<string> | Setzen Sie „Aktiviert“ auf „true“, um den angegebenen Regelsatz zu aktivieren. Setzen Sie „Aktiviert“ auf „false“, um den angegebenen Regelsatz zu deaktivieren. |
esxcli network firewall ruleset allowedip list | Listet die zulässigen IP-Adressen des angegebenen Regelsatzes auf. |
esxcli network firewall ruleset allowedip add | Ermöglicht den Zugriff auf den Regelsatz von der angegebenen IP-Adresse oder einem Bereich von IP-Adressen aus. |
esxcli network firewall ruleset allowedip remove | Deaktiviert den Zugriff auf den Regelsatz von der angegebenen IP-Adresse oder einem Bereich von IP-Adressen aus. |
esxcli network firewall ruleset rule list | Listet die Regeln jedes Regelsatzes in der Firewall auf. |
Beispiele für Firewall-Befehle
Die folgenden Beispiele stammen aus einem Blog-Beitrag auf virtuallyGhetto.
- Bestätigen Sie einen neuen Regelsatz mit der Bezeichnung virtuallyGhetto.
esxcli network firewall ruleset rule list | grep virtuallyGhetto
- Geben Sie bestimmte IP-Adressen oder IP-Bereiche an, um auf einen bestimmten Dienst zuzugreifen. Mit folgendem Beispiel wird die Option allow all deaktiviert und ein spezieller Bereich für den virtuallyGhetto-Dienst eingerichtet.
esxcli network firewall ruleset set --allowed-all false --ruleset-id=virtuallyGhetto esxcli network firewall ruleset allowedip add --ip-address=172.30.0.0/24 --ruleset-id=virtuallyGhetto