La migration ou la mise à niveau d'ESX/ESXi 4.x vers ESXi 5.x apporte plusieurs modifications à la configuration du pare-feu de l'hôte.

Lorsque vous migrez d'ESX 4.x vers ESXi 5.x, la liste des ensembles de règles d'ESX 4.x est remplacée par la nouvelle liste d'ESXi 5.x. La configuration suivante du fichier /etc/vmware/esx.conf est conservée :

  • Le statut activé/désactivé existant.

  • L'adresse IP autorisée ajoutée par esxcfg-firewall.

Les fichiers d'ensemble de règles qui sont ajoutés par l'utilisateur et les règles de pare-feu personnalisées créées dans ESX 4.x. ne sont pas conservés après la migration. Lors du premier démarrage suivant la migration, pour les ensembles de règles qui ne disposent pas d'entrées dans le fichier /etc/vmware/esx.conf d'ESX 4.x, le pare-feu ESXi 5.x charge le statut activé par défaut.

Après la migration vers ESXi 5.x, la stratégie de blocage par défaut est configurée sur faux (PASSAGE de l'ensemble du trafic par défaut) sur ESXi 5.x uniquement lorsque les valeurs blockIncoming et blockOutgoing de la stratégie par défaut sont fausses dans le fichier /etc/vmware/esx.conf d'ESX 4.x. Autrement, la règle par défaut consiste à refuser l'ensemble du trafic.

Les ports personnalisés qui ont été ouverts en utilisant la commande esxcfg-firewall d'ESX/ESXi 4.1 ne restent pas ouverts après la mise à niveau vers ESXi 5.x. Les entrées de configuration sont portées vers le fichier esx.conf par la mise à jour, mais les ports correspondant ne sont pas ouverts. Consultez les informations sur la configuration du pare-feu ESXi figurant dans la documentation de Sécurité vSphere

Important :

Le pare-feu ESXi d'ESXi 5.x n'autorise pas le filtrage par réseau du trafic vMotion. Par conséquent, vous devez établir des règles sur votre pare-feu externe pour vous assurer qu'aucune connexion entrante ne peut être réalisée vers le socket vMotion.