ESXi contient un pare-feu situé entre l'interface de gestion et le réseau. Le pare-feu est activé par défaut. Au moment de l'installation, le pare-feu ESXi est configuré pour bloquer le trafic entrant et sortant, à l'exception du trafic des services par défaut, tels que NFS.

Les services pris en charge, notamment NFS, sont décrits dans un fichier de configuration d'ensemble de règles dans le répertoire du pare-feu ESXi /etc/vmware/firewall/. Le fichier contient les règles de pare-feu et indique la relation de chaque règle avec les ports et les protocoles.

Le comportement de l'ensemble de règles du client NFS (nfsClient) diffère de celui des autres ensembles de règles. Lorsque l'ensemble de règles du client NFS est activé, tous les ports TCP sortants sont ouverts aux hôtes de destination figurant dans la liste des adresses IP autorisées.

L'ensemble de règles NFS 4.1 ouvre des connexions sortantes au port de destination 2049 qui est le port nommé dans la spécification du protocole de la version 4.1. Les connexions sortantes sont ouvertes pour toutes les adresses IP au moment du premier montage. Ce port reste ouvert jusqu'au redémarrage de l'hôte ESXi.

Pour plus d'informations sur les configurations de pare-feu, reportez-vous à la documentation de Sécurité vSphere.