Si el entorno incluye varios hosts ESXi, se recomienda automatizar la configuración del firewall mediante los comandos ESXCLI o vSphere Web Services SDK.
Referencia de comandos de firewall
Se pueden utilizar los comandos de ESXi Shell o vSphere CLI en la línea de comandos para configurar ESXi a fin de automatizar la configuración del firewall. Consulte Introducción a vSphere Command-Line Interface para ver una introducción y Ejemplos y conceptos de vSphere Command-Line Interface para ver ejemplos de uso de ESXCLI para administrar firewalls y reglas de firewall. Consulte el artículo 2008226 de la base de conocimientos de VMware para obtener más información sobre cómo crear reglas de firewall personalizadas.
Comando | Descripción |
---|---|
esxcli network firewall get | Devuelve el estado habilitado o deshabilitado del firewall y enumera las acciones predeterminadas. |
esxcli network firewall set --default-action | Se establece en true para definir que la acción predeterminada sea pasar. Se establece en false para definir que la acción predeterminada sea anular. |
esxcli network firewall set --enabled | Habilita o deshabilita el firewall de ESXi. |
esxcli network firewall load | Carga los archivos de configuración del conjunto de módulos y reglas del firewall. |
esxcli network firewall refresh | Actualiza la configuración del firewall mediante la lectura de los archivos del conjunto de reglas si se carga el módulo de firewall. |
esxcli network firewall unload | Destruye los filtros y descarga el módulo de firewall. |
esxcli network firewall ruleset list | Enumera la información de los conjuntos de reglas. |
esxcli network firewall ruleset set --allowed-all | Se establece en true para permitir un acceso total a todas las direcciones IP, o en false para utilizar una lista de direcciones IP permitidas. |
esxcli network firewall ruleset set --enabled --ruleset-id=<string> | Se establece en true para habilitar el conjunto de reglas especificado. Se establece en false para deshabilitar el conjunto de reglas especificado. |
esxcli network firewall ruleset allowedip list | Enumera las direcciones IP permitidas del conjunto de reglas especificado. |
esxcli network firewall ruleset allowedip add | Permite acceder al conjunto de reglas desde la dirección IP o el intervalo de direcciones IP especificado. |
esxcli network firewall ruleset allowedip remove | Quita el acceso al conjunto de reglas desde la dirección IP o el intervalo de direcciones IP especificados. |
esxcli network firewall ruleset rule list | Enumera las reglas de cada conjunto de reglas del firewall. |
Ejemplos de comandos de firewall
Los siguientes ejemplos se han extraído de la publicación de un blog en virtuallyGhetto.
- Compruebe que hay un conjunto de reglas nuevo llamado virtuallyGhetto.
esxcli network firewall ruleset rule list | grep virtuallyGhetto
- Especifique los rangos de IP o la dirección IP específica para acceder a un servicio particular. En el siguiente ejemplo se deshabilita la opción allow all y se especifica un intervalo determinado para el servicio virtuallyGhetto.
esxcli network firewall ruleset set --allowed-all false --ruleset-id=virtuallyGhetto esxcli network firewall ruleset allowedip add --ip-address=172.30.0.0/24 --ruleset-id=virtuallyGhetto