ESXi incluye un firewall que está habilitado de forma predeterminada.

En el momento de realizar la instalación, el firewall de ESXi se configura para bloquear el tráfico entrante y saliente, excepto el tráfico de los servicios que están habilitados en el perfil de seguridad del host.

Al abrir puertos en el firewall, tenga en cuenta que el acceso no restringido a los servicios que se ejecutan en un host ESXi pueden exponer un host a ataques externos y acceso no autorizado. Para reducir el riesgo, configure el firewall de ESXi para que permita el acceso solo desde redes autorizadas.

Nota: El firewall también permite pings del protocolo Control Message Protocol (ICMP) y la comunicación con los clientes DHCP y DNS (solo UDP).

Es posible administrar puertos de firewall de ESXi de la siguiente manera:

  • Utilice las opciones Configurar > Firewall para cada host en vSphere Client. Consulte Administrar la configuración del firewall de ESXi.
  • Utilice los comandos ESXCLI en la línea de comandos o en los scripts. Consulte Comandos de firewall ESXCLI de ESXi.
  • Utilice un VIB si el puerto que desea abrir no está incluido en el perfil de seguridad.

    Para instalar el VIB personalizado, se debe cambiar el nivel de aceptación del host ESXi a CommunitySupported.

    Nota: Si se contacta con el soporte técnico de VMware para investigar un problema en un host ESXi con un VIB CommunitySupported instalado, el soporte de VMware puede solicitarle que desinstale este VIB. Dicha solicitud es un paso de solución de problemas para determinar si ese VIB está relacionado con el problema que se investiga.

El comportamiento del conjunto de reglas del cliente NFS (nfsClient) es diferente a otros conjuntos de reglas. Cuando el conjunto de reglas del cliente NFS está habilitado, todos los puertos TCP salientes están abiertos para los hosts de destino que se incluyen en la lista de direcciones IP permitidas. Consulte Comportamiento de firewall del cliente NFS para obtener más información.