Si el entorno incluye varios hosts ESXi, se recomienda automatizar la configuración del firewall mediante los comandos ESXCLI o vSphere Web Services SDK.

Referencia de comandos de firewall

Se pueden utilizar los comandos de ESXi Shell o vSphere CLI en la línea de comandos para configurar ESXi a fin de automatizar la configuración del firewall. Consulte Introducción a vSphere Command-Line Interface para ver una introducción y Ejemplos y conceptos de vSphere Command-Line Interface para ver ejemplos de uso de ESXCLI para administrar firewalls y reglas de firewall.

Tabla 1. Comandos de firewall

Comando

Descripción

esxcli network firewall get

Devuelve el estado habilitado o deshabilitado del firewall y enumera las acciones predeterminadas.

esxcli network firewall set --default-action

Se establece en true para definir que la acción predeterminada sea pasar. Se establece en false para definir que la acción predeterminada sea anular.

esxcli network firewall set --enabled

Habilita o deshabilita el firewall de ESXi.

esxcli network firewall load

Carga los archivos de configuración del conjunto de módulos y reglas del firewall.

esxcli network firewall refresh

Actualiza la configuración del firewall mediante la lectura de los archivos del conjunto de reglas si se carga el módulo de firewall.

esxcli network firewall unload

Destruye los filtros y descarga el módulo de firewall.

esxcli network firewall ruleset list

Enumera la información de los conjuntos de reglas.

esxcli network firewall ruleset set --allowed-all

Se establece en true para permitir un acceso total a todas las direcciones IP, o en false para utilizar una lista de direcciones IP permitidas.

esxcli network firewall ruleset set --enabled --ruleset-id=<string>

Se establece en true para habilitar el conjunto de reglas especificado. Se establece en false para deshabilitar el conjunto de reglas especificado.

esxcli network firewall ruleset allowedip list

Enumera las direcciones IP permitidas del conjunto de reglas especificado.

esxcli network firewall ruleset allowedip add

Permite acceder al conjunto de reglas desde la dirección IP o el intervalo de direcciones IP especificado.

esxcli network firewall ruleset allowedip remove

Quita el acceso al conjunto de reglas desde la dirección IP o el intervalo de direcciones IP especificados.

esxcli network firewall ruleset rule list

Enumera las reglas de cada conjunto de reglas del firewall.

Ejemplos de comandos de firewall

Los siguientes ejemplos se han extraído de la publicación de un blog en virtuallyGhetto.

  1. Compruebe que hay un conjunto de reglas nuevo llamado virtuallyGhetto.

    esxcli network firewall ruleset rule list | grep virtuallyGhetto

  2. Especifique los rangos de IP o la dirección IP específica para acceder a un servicio particular. En el siguiente ejemplo se deshabilita la opción allow all y se especifica un intervalo determinado para el servicio virtuallyGhetto.

    esxcli network firewall ruleset set --allowed-all false --ruleset-id=virtuallyGhetto
    esxcli network firewall ruleset allowedip add --ip-address=172.30.0.0/24 --ruleset-id=virtuallyGhetto