Wenn Ihre Umgebung mehrere ESXi-Hosts umfasst, wird empfohlen, die Firewall-Konfiguration anhand von ESXCLI-Befehlen oder mit dem vSphere Web Services SDK zu automatisieren.

Firewall-Befehlsreferenz

Sie können die ESXi Shell- oder vSphere CLI-Befehle verwenden, um ESXi an der Befehlszeile zu konfigurieren und die Firewall-Konfiguration zu automatisieren. Unter Erste Schritte mit vSphere-Befehlszeilenschnittstellen finden Sie eine Einführung. vSphere Command-Line Interface Concepts and Examples enthält Beispiele für die Verwendung von ESXCLI für den Umgang mit Firewalls und Firewall-Regeln. Informationen zum Erstellen benutzerdefinierter Firewall-Regeln finden Sie im VMware-Knowledgebase-Artikel 2008226.

Tabelle 1. Firewall-Befehle
Befehl Beschreibung
esxcli network firewall get Gibt den aktivierten oder deaktivierten Status der Firewall zurück und listet die Standardaktionen auf.
esxcli network firewall set --default-action Legen Sie „true“ fest, um die Standardaktion auszuführen. Legen Sie „false“ fest, um die Standardaktion nicht auszuführen.
esxcli network firewall set --enabled Aktiviert bzw. deaktiviert die ESXi-Firewall.
esxcli network firewall load Lädt die Firewallmodul- und Regelsatz-Konfigurationsdateien.
esxcli network firewall refresh Aktualisiert die Firewall-Konfiguration durch das Einlesen der Regelsatzdateien, wenn das Firewallmodul geladen ist.
esxcli network firewall unload Löscht Filter und entlädt das Firewallmodul.
esxcli network firewall ruleset list Listet Informationen zu Regelsätzen auf.
esxcli network firewall ruleset set --allowed-all Legen Sie „true“ fest, um den Zugriff auf alle IP-Adressen zu erlauben. Legen Sie „false“ fest, um eine Liste mit zulässigen IP-Adressen zu verwenden.
esxcli network firewall ruleset set --enabled --ruleset-id=<string> Setzen Sie „Aktiviert“ auf „true“, um den angegebenen Regelsatz zu aktivieren. Setzen Sie „Aktiviert“ auf „false“, um den angegebenen Regelsatz zu deaktivieren.
esxcli network firewall ruleset allowedip list Listet die zulässigen IP-Adressen des angegebenen Regelsatzes auf.
esxcli network firewall ruleset allowedip add Ermöglicht den Zugriff auf den Regelsatz von der angegebenen IP-Adresse oder einem Bereich von IP-Adressen aus.
esxcli network firewall ruleset allowedip remove Deaktiviert den Zugriff auf den Regelsatz von der angegebenen IP-Adresse oder einem Bereich von IP-Adressen aus.
esxcli network firewall ruleset rule list Listet die Regeln jedes Regelsatzes in der Firewall auf.

Beispiele für Firewall-Befehle

Die folgenden Beispiele stammen aus einem Blog-Beitrag auf virtuallyGhetto.

  1. Bestätigen Sie einen neuen Regelsatz mit der Bezeichnung virtuallyGhetto.
    esxcli network firewall ruleset rule list | grep virtuallyGhetto
  2. Geben Sie bestimmte IP-Adressen oder IP-Bereiche an, um auf einen bestimmten Dienst zuzugreifen. Mit folgendem Beispiel wird die Option allow all deaktiviert und ein spezieller Bereich für den virtuallyGhetto-Dienst eingerichtet.
    esxcli network firewall ruleset set --allowed-all false --ruleset-id=virtuallyGhetto
    esxcli network firewall ruleset allowedip add --ip-address=172.30.0.0/24 --ruleset-id=virtuallyGhetto