ESXi incluye un firewall que está habilitado de forma predeterminada. En el momento de realizar la instalación, el firewall de ESXi se configura para bloquear el tráfico entrante y saliente, excepto el tráfico de los servicios que están habilitados en el perfil de seguridad del host. El firewall se administra mediante vSphere Client, la CLI y la API.

Al abrir puertos en el firewall, tenga en cuenta que el acceso no restringido a los servicios que se ejecutan en un host ESXi pueden exponer un host a ataques externos y acceso no autorizado. Para reducir el riesgo, configure el firewall de ESXi para que permita el acceso solo desde redes autorizadas.

Nota: El firewall también permite pings del protocolo Control Message Protocol (ICMP) y la comunicación con los clientes DHCP y DNS (solo UDP).

Es posible administrar puertos de firewall de ESXi de la siguiente manera:

  • Utilice las opciones Configurar > Firewall para cada host en vSphere Client. Consulte Administrar la configuración del firewall de ESXi.
  • Utilice los comandos ESXCLI en la línea de comandos o en los scripts. Consulte Usar comandos de firewall ESXCLI para configurar el comportamiento de ESXi.
  • Utilice un VIB si el puerto que desea abrir no está incluido en el perfil de seguridad.

    Para instalar el VIB personalizado, se debe cambiar el nivel de aceptación del host ESXi a CommunitySupported.

    Nota: Si se contacta con el soporte técnico de VMware para investigar un problema en un host ESXi con un VIB CommunitySupported instalado, el soporte de VMware puede solicitarle que desinstale este VIB. Dicha solicitud es un paso de solución de problemas para determinar si ese VIB está relacionado con el problema que se investiga.

El comportamiento del conjunto de reglas del cliente NFS (nfsClient) es diferente a otros conjuntos de reglas. Cuando el conjunto de reglas del cliente NFS está habilitado, todos los puertos TCP salientes están abiertos para los hosts de destino que se incluyen en la lista de direcciones IP permitidas. Consulte Comportamiento de firewall del cliente NFS para obtener más información.

Administrar la configuración del firewall de ESXi

Puede configurar conexiones entrantes o salientes en el firewall para un servicio o un agente de administración desde vSphere Client o en la línea de comandos.

Esta tarea describe cómo utilizar la instancia de vSphere Client para configurar los ajustes de firewall de ESXi. Se pueden utilizar comandos de ESXi Shell o ESXCLI en la línea de comandos para configurar ESXi para automatizar la configuración del firewall. Consulte Usar comandos de firewall ESXCLI para configurar el comportamiento de ESXi para ver ejemplos del uso de ESXCLI para manipular firewalls y reglas de firewall.

Nota: Si hay distintos servicios con reglas de puerto superpuestas, es posible que se activen otros servicios de forma implícita al habilitar un servicio. Para evitar este problema, se pueden especificar qué direcciones IP tienen permiso para acceder a cada servicio en el host.

Procedimiento

  1. Inicie sesión en vCenter Server mediante vSphere Client.
  2. Desplácese hasta el host en el inventario.
  3. En Sistema, haga clic en Configurar y, a continuación, en Firewall.
    Para alternar entre conexiones entrantes y salientes, haga clic en Entrante y Saliente.
  4. En la sección Firewall, haga clic en Editar.
  5. Seleccione uno de los grupos de servicios: Sin agrupar, Shell seguro y Protocolo de administración de red simple.
  6. Seleccione los conjuntos de reglas que se van a activar o anule la selección de la casilla de los conjuntos de reglas que se van a desactivar.
  7. En algunos servicios, también puede administrar detalles del servicio; para ello, desplácese hasta Configurar > Sistema > Servicios.
    Para obtener más información sobre la forma de iniciar, detener y reiniciar los servicios, consulte Activar o desactivar un servicio de ESXi.
  8. Para algunos servicios, se pueden especificar explícitamente las direcciones IP para las que se permiten conexiones.
    Consulte Agregar direcciones IP permitidas para un host ESXi.
  9. Haga clic en Aceptar.

Agregar direcciones IP permitidas para un host ESXi

De forma predeterminada, el firewall de cada servicio permite el acceso a todas las direcciones IP. Para restringir el tráfico, cambie cada servicio para permitir el tráfico solo desde la subred de administración. También puede anular la selección de algunos servicios si el entorno no los usa.

Para actualizar la lista de direcciones IP permitidas para un servicio, puede utilizar vSphere Client, ESXCLI o PowerCLI. Esta tarea describe cómo utilizar vSphere Client. Consulte el tema con el título "Administrar ESXi Firewall" en la documentación de Conceptos y ejemplos de ESXCLI para obtener instrucciones sobre cómo usar ESXCLI.

Procedimiento

  1. Inicie sesión en vCenter Server mediante vSphere Client.
  2. Desplácese hasta el host ESXi.
  3. En Sistema, haga clic en Configurar y, a continuación, en Firewall.
    Para alternar entre conexiones entrantes y salientes, haga clic en Entrante y Saliente.
  4. En la sección Firewall, haga clic en Editar.
  5. Seleccione uno de los tres grupos de servicios: Sin agrupar, Shell seguro y Protocolo de administración de red simple.
  6. Para mostrar la sección Direcciones IP permitidas, amplíe un servicio.
  7. En la sección Direcciones IP permitidas, desactive la casilla Permitir conexiones desde cualquier dirección IP e introduzca las direcciones IP de las redes que tienen permiso para conectarse al host.
    Separe las direcciones IP con comas. Puede utilizar los siguientes formatos de dirección:
    • 192.168.0.0/24
    • 192.168.1.2, 2001::1/64
    • fd3e:29a6:0a81:e478::/64
  8. Asegúrese de que el servicio esté seleccionado.
  9. Haga clic en Aceptar.
  10. Compruebe el cambio en la columna Direcciones IP permitidas para el servicio.

Puertos de firewall entrantes y salientes para hosts de ESXi

Abra y cierre los puertos de firewall de cada servicio mediante vSphere Client o VMware Host Client.

ESXi incluye un firewall que está habilitado de forma predeterminada. En el momento de realizar la instalación, el firewall de ESXi se configura para bloquear el tráfico entrante y saliente, excepto el tráfico de los servicios que están habilitados en el perfil de seguridad del host. Para obtener la lista de los puertos y protocolos compatibles en el firewall de ESXi, consulte la herramienta VMware Ports and Protocols™ en https://ports.vmware.com/.

La herramienta VMware Ports and Protocols muestra la información sobre los puertos de los servicios que se instalan de forma predeterminada. Si instala otros VIB en el host, es posible que estén disponibles otros puertos de firewall y servicios adicionales. La información es principalmente para los servicios que están visibles en vSphere Client, pero la herramienta VMware Ports and Protocols también incluye otros puertos.

Comportamiento de firewall del cliente NFS

El conjunto de reglas de firewall del cliente NFS se comporta de forma diferente a otros conjuntos de reglas de firewall de ESXi. ESXi configura los parámetros del cliente NFS cuando se monta o desmonta una almacén de datos de NFS. El comportamiento varía según la versión de NFS.

Cuando se agrega, monta o desmonta un almacén de datos de NFS, el comportamiento que se obtiene varía según la versión de NFS.

Comportamiento de firewall de NFS v3

Cuando se agrega o monta un almacén de datos de NFS v3, ESXi comprueba el estado del conjunto de reglas de firewall del cliente NFS (nfsClient).

  • Si el conjunto de reglas nfsClient está desactivado, ESXi activa el conjunto de reglas y desactiva la directiva Permitir todas las direcciones IP estableciendo la marca allowedAll en FALSE. La dirección IP del servidor NFS se agrega a la lista de direcciones IP salientes permitidas.
  • Si el conjunto de reglas nfsClient está activado, el estado del conjunto de reglas y la directiva de direcciones IP permitidas no se cambian. La dirección IP del servidor NFS se agrega a la lista de direcciones IP salientes permitidas.
Nota: Si activa manualmente el conjunto de reglas nfsClient o configura manualmente la directiva Permitir todas las direcciones IP, ya sea antes o después de agregar un almacén de datos de NFS v3 al sistema, la configuración se anula cuando se desmonta el último almacén de datos de NFS v3. El conjunto de reglas nfsClient se desactiva cuando se desmontan todos los almacenes de datos de NFS v3.

Cuando se quita o se desmonta un almacén de datos de NFS v3, ESXi realiza una de las siguientes acciones.

  • Si ninguno de los almacenes de datos de NFS v3 restantes se monta desde el servidor del almacén de datos que se desmonta, ESXi quita la dirección IP del servidor de la lista de direcciones IP salientes.
  • Si ninguno de los almacenes de datos de NFS v3 montados permanece después de la operación de desmontaje, ESXi desactiva el conjunto de reglas de firewall de nfsClient.

Comportamiento de firewall de NFS v4.1

Cuando se monta el primer almacén de datos de NFS v4.1, ESXi activa el conjunto de reglas nfs41client y establece su marca allowedAll en TRUE. Esta acción abre el puerto 2049 para todas las direcciones IP. Cuando se desmonta el almacén de datos NFS v4.1, el estado del firewall no se ve afectado. De esta forma, el primer montaje de NFS v4.1 abre el puerto 2049 y ese puerto permanece activado a menos que se cierre explícitamente.

Usar comandos de firewall ESXCLI para configurar el comportamiento de ESXi

Si el entorno incluye varios hosts ESXi, automatice la configuración del firewall usando comandos ESXCLI o vSphere Web Services SDK.

Referencia de comandos de firewall

Se pueden utilizar los comandos de ESXi Shell o ESXCLI en la línea de comandos para configurar ESXi para automatizar la configuración del firewall. Para manipular firewalls y reglas de firewall, consulte Introducción a ESXCLI para ver una introducción y Conceptos y ejemplos de ESXCLI para ver ejemplos de uso de ESXCLI.

En ESXi 7.0 y versiones posteriores, se restringe el acceso al archivo de service.xml, que se utiliza para crear reglas de firewall personalizadas. Consulte el artículo 2008226 de la base de conocimientos de VMware para obtener información sobre cómo crear reglas de firewall personalizadas usando el archivo /etc/rc.local.d/local.sh.

Tabla 1. Comandos de firewall
Comando Descripción
esxcli network firewall get Devuelva el estado del firewall y enumere las acciones predeterminadas.
esxcli network firewall set --default-action Se establece en true para definir que la acción predeterminada sea pasar. Se establece en false para definir que la acción predeterminada sea anular.
esxcli network firewall set --enabled Active o desactive el firewall ESXi.
esxcli network firewall load Carga los archivos de configuración del conjunto de módulos y reglas del firewall.
esxcli network firewall refresh Actualiza la configuración del firewall mediante la lectura de los archivos del conjunto de reglas si se carga el módulo de firewall.
esxcli network firewall unload Destruye los filtros y descarga el módulo de firewall.
esxcli network firewall ruleset list Enumera la información de los conjuntos de reglas.
esxcli network firewall ruleset set --allowed-all Se establece en true para permitir un acceso total a todas las direcciones IP, o en false para utilizar una lista de direcciones IP permitidas.
esxcli network firewall ruleset set --enabled --ruleset-id=<string> Se establece en true para activar el conjunto de reglas especificado. Se establece en false para desactivar el conjunto de reglas especificado.
esxcli network firewall ruleset allowedip list Enumera las direcciones IP permitidas del conjunto de reglas especificado.
esxcli network firewall ruleset allowedip add Permite acceder al conjunto de reglas desde la dirección IP o el intervalo de direcciones IP especificado.
esxcli network firewall ruleset allowedip remove Quita el acceso al conjunto de reglas desde la dirección IP o el intervalo de direcciones IP especificados.
esxcli network firewall ruleset rule list Enumera las reglas de cada conjunto de reglas del firewall.