Si votre environnement inclut plusieurs hôtes ESXi, l'automatisation de la configuration de pare-feu à l'aide de commandes ESXCLI ou de vSphere Web Services SDK est recommandée.
Référence des commandes de pare-feu
Vous pouvez utiliser les commandes d'ESXi Shell ou de vSphere CLI pour configurer ESXi sur la ligne de commande afin d'automatiser la configuration du pare-feu. Reportez-vous à Démarrage avec vSphere Command-Line Interfaces pour une introduction et à Concepts et exemples d'interfaces de ligne de commande vSphere pour des exemples d'utilisation d'ESXCLI pour manipuler des pare-feu et des règles de pare-feu. Pour plus d'informations sur la création de règles de pare-feu personnalisées, reportez-vous à l'article 2008226 de la base de connaissances VMware.
| Commande | Description |
|---|---|
| esxcli network firewall get | Renvoie l'état activé ou désactivé du pare-feu et répertorie les actions par défaut. |
| esxcli network firewall set --default-action | Définir sur True pour définir Passer comme action par défaut. Définir sur False pour définir Abandonner comme action par défaut. |
| esxcli network firewall set --enabled | Activer ou désactiver le pare-feu d'ESXi. |
| esxcli network firewall load | Charger le module du pare-feu et les fichiers de configuration d'ensemble de règles. |
| esxcli network firewall refresh | Actualiser la configuration du pare-feu en lisant les fichiers d'ensemble de règles si le module du pare-feu est chargé. |
| esxcli network firewall unload | Détruire les filtres et décharger le module du pare-feu. |
| esxcli network firewall ruleset list | Répertorier les informations des ensembles de règles. |
| esxcli network firewall ruleset set --allowed-all | Définir sur True pour permettre l'accès à toutes les adresses IP. Définir sur False pour utiliser une liste d'adresses IP autorisées. |
| esxcli network firewall ruleset set --enabled --ruleset-id=<string> | Définir la propriété sur True pour activer l'ensemble de règles spécifié. Définir la propriété sur False pour désactiver l'ensemble de règles spécifié. |
| esxcli network firewall ruleset allowedip list | Répertorier les adresses IP autorisées de l'ensemble de règles spécifié. |
| esxcli network firewall ruleset allowedip add | Autoriser l'accès à l'ensemble de règles à partir de l'adresse IP ou de la plage d'adresses IP spécifiée. |
| esxcli network firewall ruleset allowedip remove | Supprimer l'accès à l'ensemble de règles à partir de l'adresse IP ou de la plage d'adresses IP spécifiée. |
| esxcli network firewall ruleset rule list | Lister les règles de chaque ensemble de règles du pare-feu. |
Exemples de commandes de pare-feu
Les exemples suivants proviennent d'une publication de virtuallyGhetto.
- Vérifiez un nouvel ensemble de règles appelé virtuallyGhetto.
esxcli network firewall ruleset rule list | grep virtuallyGhetto
- Spécifiez une adresse IP ou des plages d'adresses IP spécifiques pour accéder à un service en particulier. L'exemple suivant désactive l'option allow all et spécifie une plage particulière pour le service virtuallyGhetto.
esxcli network firewall ruleset set --allowed-all false --ruleset-id=virtuallyGhetto esxcli network firewall ruleset allowedip add --ip-address=172.30.0.0/24 --ruleset-id=virtuallyGhetto
