Si votre environnement inclut plusieurs hôtes ESXi, l'automatisation de la configuration de pare-feu à l'aide de commandes ESXCLI ou de vSphere Web Services SDK est recommandée.

Référence des commandes de pare-feu

Vous pouvez utiliser les commandes d'ESXi Shell ou de vSphere CLI pour configurer ESXi sur la ligne de commande afin d'automatiser la configuration du pare-feu. Reportez-vous à Démarrage avec vSphere Command-Line Interfaces pour une introduction et à Concepts et exemples d'interfaces de ligne de commande vSphere pour des exemples d'utilisation d'ESXCLI pour manipuler des pare-feu et des règles de pare-feu.

Tableau 1. Commandes du pare-feu

Commande

Description

esxcli network firewall get

Renvoie l'état activé ou désactivé du pare-feu et répertorie les actions par défaut.

esxcli network firewall set --default-action

Définir sur True pour définir Passer comme action par défaut. Définir sur False pour définir Abandonner comme action par défaut.

esxcli network firewall set --enabled

Activer ou désactiver le pare-feu d'ESXi.

esxcli network firewall load

Charger le module du pare-feu et les fichiers de configuration d'ensemble de règles.

esxcli network firewall refresh

Actualiser la configuration du pare-feu en lisant les fichiers d'ensemble de règles si le module du pare-feu est chargé.

esxcli network firewall unload

Détruire les filtres et décharger le module du pare-feu.

esxcli network firewall ruleset list

Répertorier les informations des ensembles de règles.

esxcli network firewall ruleset set --allowed-all

Définir sur True pour permettre l'accès à toutes les adresses IP. Définir sur False pour utiliser une liste d'adresses IP autorisées.

esxcli network firewall ruleset set --enabled --ruleset-id=<string>

Définir la propriété sur True pour activer l'ensemble de règles spécifié. Définir la propriété sur False pour désactiver l'ensemble de règles spécifié.

esxcli network firewall ruleset allowedip list

Répertorier les adresses IP autorisées de l'ensemble de règles spécifié.

esxcli network firewall ruleset allowedip add

Autoriser l'accès à l'ensemble de règles à partir de l'adresse IP ou de la plage d'adresses IP spécifiée.

esxcli network firewall ruleset allowedip remove

Supprimer l'accès à l'ensemble de règles à partir de l'adresse IP ou de la plage d'adresses IP spécifiée.

esxcli network firewall ruleset rule list

Lister les règles de chaque ensemble de règles du pare-feu.

Exemples de commandes de pare-feu

Les exemples suivants proviennent d'une publication de virtuallyGhetto.

  1. Vérifiez un nouvel ensemble de règles appelé virtuallyGhetto.

    esxcli network firewall ruleset rule list | grep virtuallyGhetto

  2. Spécifiez une adresse IP ou des plages d'adresses IP spécifiques pour accéder à un service en particulier. L'exemple suivant désactive l'option allow all et spécifie une plage particulière pour le service virtuallyGhetto.

    esxcli network firewall ruleset set --allowed-all false --ruleset-id=virtuallyGhetto
    esxcli network firewall ruleset allowedip add --ip-address=172.30.0.0/24 --ruleset-id=virtuallyGhetto