ESXi incluye un firewall entre la interfaz de administración y la red. El firewall está habilitado de manera predeterminada. En el momento de la instalación, el firewall de ESXi está configurado para bloquear el tráfico entrante y saliente, a excepción del tráfico de los servicios predeterminados, como NFS.

Los servicios compatibles, incluido NFS, se describen en un archivo de configuración de un conjunto de reglas en el directorio /etc/vmware/firewall/ del firewall de ESXi. El archivo contiene reglas de firewall y sus relaciones con puertos y protocolos.

El comportamiento del conjunto de reglas del cliente NFS (nfsClient) es diferente a otros conjuntos de reglas.

Para obtener más información sobre las configuraciones del firewall, consulte la documentación de Seguridad de vSphere.

Comportamiento de firewall del cliente NFS

El conjunto de reglas de firewall del cliente NFS se comporta de forma diferente a otros conjuntos de reglas de firewall de ESXi. ESXi configura los parámetros del cliente NFS cuando se monta o desmonta una almacén de datos de NFS. El comportamiento varía según la versión de NFS.

Cuando se agrega, monta o desmonta un almacén de datos de NFS, el comportamiento que se obtiene varía según la versión de NFS.

Comportamiento de firewall de NFS v3

Cuando se agrega o monta un almacén de datos de NFS v3, ESXi comprueba el estado del conjunto de reglas de firewall del cliente NFS (nfsClient).

  • Si el conjunto de reglas nfsClient está desactivado, ESXi activa el conjunto de reglas y desactiva la directiva Permitir todas las direcciones IP estableciendo la marca allowedAll en FALSE. La dirección IP del servidor NFS se agrega a la lista de direcciones IP salientes permitidas.
  • Si el conjunto de reglas nfsClient está activado, el estado del conjunto de reglas y la directiva de direcciones IP permitidas no se cambian. La dirección IP del servidor NFS se agrega a la lista de direcciones IP salientes permitidas.
Nota: Si activa manualmente el conjunto de reglas nfsClient o configura manualmente la directiva Permitir todas las direcciones IP, ya sea antes o después de agregar un almacén de datos de NFS v3 al sistema, la configuración se anula cuando se desmonta el último almacén de datos de NFS v3. El conjunto de reglas nfsClient se desactiva cuando se desmontan todos los almacenes de datos de NFS v3.

Cuando se quita o se desmonta un almacén de datos de NFS v3, ESXi realiza una de las siguientes acciones.

  • Si ninguno de los almacenes de datos de NFS v3 restantes se monta desde el servidor del almacén de datos que se desmonta, ESXi quita la dirección IP del servidor de la lista de direcciones IP salientes.
  • Si ninguno de los almacenes de datos de NFS v3 montados permanece después de la operación de desmontaje, ESXi desactiva el conjunto de reglas de firewall de nfsClient.

Comportamiento de firewall de NFS v4.1

Cuando se monta el primer almacén de datos de NFS v4.1, ESXi activa el conjunto de reglas nfs41client y establece su marca allowedAll en TRUE. Esta acción abre el puerto 2049 para todas las direcciones IP. Cuando se desmonta el almacén de datos NFS v4.1, el estado del firewall no se ve afectado. De esta forma, el primer montaje de NFS v4.1 abre el puerto 2049 y ese puerto permanece activado a menos que se cierre explícitamente.

Comprobar los puertos de firewall para clientes NFS

Para habilitar el acceso al almacenamiento NFS, ESXi abre automáticamente puertos de firewall para los clientes NFS cuando se monta un almacén de datos NFS. Por motivos de solución de problemas, es posible que deba comprobar que los puertos estén abiertos.

Procedimiento

  1. En vSphere Client, desplácese hasta el host ESXi.
  2. Haga clic en la pestaña Configurar.
  3. En Sistema, haga clic en Firewall y en Editar.
  4. Desplácese hacia abajo hasta la versión correspondiente de NFS para asegurarse de que el puerto esté abierto.