Si votre environnement inclut plusieurs hôtes ESXi, l'automatisation de la configuration de pare-feu à l'aide de commandes ESXCLI ou de vSphere Web Services SDK est recommandée.

Référence des commandes de pare-feu

Vous pouvez utiliser les commandes d'ESXi Shell ou de vSphere CLI pour configurer ESXi sur la ligne de commande afin d'automatiser la configuration du pare-feu. Reportez-vous à Démarrage avec vSphere Command-Line Interfaces pour une introduction et à Concepts et exemples d'interfaces de ligne de commande vSphere pour des exemples d'utilisation d'ESXCLI pour manipuler des pare-feu et des règles de pare-feu. Pour plus d'informations sur la création de règles de pare-feu personnalisées, reportez-vous à l'article 2008226 de la base de connaissances VMware.

Tableau 1. Commandes du pare-feu
Commande Description
esxcli network firewall get Renvoie l'état activé ou désactivé du pare-feu et répertorie les actions par défaut.
esxcli network firewall set --default-action Définir sur True pour définir Passer comme action par défaut. Définir sur False pour définir Abandonner comme action par défaut.
esxcli network firewall set --enabled Activer ou désactiver le pare-feu d'ESXi.
esxcli network firewall load Charger le module du pare-feu et les fichiers de configuration d'ensemble de règles.
esxcli network firewall refresh Actualiser la configuration du pare-feu en lisant les fichiers d'ensemble de règles si le module du pare-feu est chargé.
esxcli network firewall unload Détruire les filtres et décharger le module du pare-feu.
esxcli network firewall ruleset list Répertorier les informations des ensembles de règles.
esxcli network firewall ruleset set --allowed-all Définir sur True pour permettre l'accès à toutes les adresses IP. Définir sur False pour utiliser une liste d'adresses IP autorisées.
esxcli network firewall ruleset set --enabled --ruleset-id=<string> Définir la propriété sur True pour activer l'ensemble de règles spécifié. Définir la propriété sur False pour désactiver l'ensemble de règles spécifié.
esxcli network firewall ruleset allowedip list Répertorier les adresses IP autorisées de l'ensemble de règles spécifié.
esxcli network firewall ruleset allowedip add Autoriser l'accès à l'ensemble de règles à partir de l'adresse IP ou de la plage d'adresses IP spécifiée.
esxcli network firewall ruleset allowedip remove Supprimer l'accès à l'ensemble de règles à partir de l'adresse IP ou de la plage d'adresses IP spécifiée.
esxcli network firewall ruleset rule list Lister les règles de chaque ensemble de règles du pare-feu.

Exemples de commandes de pare-feu

Les exemples suivants proviennent d'une publication de virtuallyGhetto.

  1. Vérifiez un nouvel ensemble de règles appelé virtuallyGhetto.
    esxcli network firewall ruleset rule list | grep virtuallyGhetto
  2. Spécifiez une adresse IP ou des plages d'adresses IP spécifiques pour accéder à un service en particulier. L'exemple suivant désactive l'option allow all et spécifie une plage particulière pour le service virtuallyGhetto.
    esxcli network firewall ruleset set --allowed-all false --ruleset-id=virtuallyGhetto
    esxcli network firewall ruleset allowedip add --ip-address=172.30.0.0/24 --ruleset-id=virtuallyGhetto