Si el entorno incluye varios hosts ESXi, se recomienda automatizar la configuración del firewall mediante los comandos ESXCLI o vSphere Web Services SDK.

Referencia de comandos de firewall

Se pueden utilizar los comandos de ESXi Shell o vSphere CLI en la línea de comandos para configurar ESXi a fin de automatizar la configuración del firewall. Consulte Introducción a vSphere Command-Line Interface para ver una introducción y Ejemplos y conceptos de vSphere Command-Line Interface para ver ejemplos de uso de ESXCLI para administrar firewalls y reglas de firewall. Consulte el artículo 2008226 de la base de conocimientos de VMware para obtener más información sobre cómo crear reglas de firewall personalizadas.

Tabla 1. Comandos de firewall
Comando Descripción
esxcli network firewall get Devuelve el estado habilitado o deshabilitado del firewall y enumera las acciones predeterminadas.
esxcli network firewall set --default-action Se establece en true para definir que la acción predeterminada sea pasar. Se establece en false para definir que la acción predeterminada sea anular.
esxcli network firewall set --enabled Habilita o deshabilita el firewall de ESXi.
esxcli network firewall load Carga los archivos de configuración del conjunto de módulos y reglas del firewall.
esxcli network firewall refresh Actualiza la configuración del firewall mediante la lectura de los archivos del conjunto de reglas si se carga el módulo de firewall.
esxcli network firewall unload Destruye los filtros y descarga el módulo de firewall.
esxcli network firewall ruleset list Enumera la información de los conjuntos de reglas.
esxcli network firewall ruleset set --allowed-all Se establece en true para permitir un acceso total a todas las direcciones IP, o en false para utilizar una lista de direcciones IP permitidas.
esxcli network firewall ruleset set --enabled --ruleset-id=<string> Se establece en true para habilitar el conjunto de reglas especificado. Se establece en false para deshabilitar el conjunto de reglas especificado.
esxcli network firewall ruleset allowedip list Enumera las direcciones IP permitidas del conjunto de reglas especificado.
esxcli network firewall ruleset allowedip add Permite acceder al conjunto de reglas desde la dirección IP o el intervalo de direcciones IP especificado.
esxcli network firewall ruleset allowedip remove Quita el acceso al conjunto de reglas desde la dirección IP o el intervalo de direcciones IP especificados.
esxcli network firewall ruleset rule list Enumera las reglas de cada conjunto de reglas del firewall.

Ejemplos de comandos de firewall

Los siguientes ejemplos se han extraído de la publicación de un blog en virtuallyGhetto.

  1. Compruebe que hay un conjunto de reglas nuevo llamado virtuallyGhetto.
    esxcli network firewall ruleset rule list | grep virtuallyGhetto
  2. Especifique los rangos de IP o la dirección IP específica para acceder a un servicio particular. En el siguiente ejemplo se deshabilita la opción allow all y se especifica un intervalo determinado para el servicio virtuallyGhetto.
    esxcli network firewall ruleset set --allowed-all false --ruleset-id=virtuallyGhetto
    esxcli network firewall ruleset allowedip add --ip-address=172.30.0.0/24 --ruleset-id=virtuallyGhetto