ESXi contient un pare-feu activé par défaut.

Au moment de l'installation, le pare-feu ESXi est configuré pour bloquer le trafic entrant et sortant, sauf le trafic des services activés dans le profil de sécurité de l'hôte.

Réfléchissez bien avant d'ouvrir des ports sur le pare-feu, car l'accès illimité aux services qui s'exécutent sur un hôte ESXi peut exposer ce dernier aux attaques extérieures et aux accès non autorisés. Pour minimiser les risques, configurez le pare-feu ESXi de manière à autoriser l'accès uniquement depuis les réseaux autorisés.

Note : Le pare-feu permet également d'utiliser les commandes ping ICMP (Internet Control Message Protocol) et autorise les communications avec les clients DHCP et DNS (UDP uniquement).

Vous pouvez gérer les ports du pare-feu d'ESXi de la manière suivante :

  • Utilisez Configurer > Pare-feu pour chaque hôte dans vSphere Client. Reportez-vous à la section Gérer les paramètres du pare-feu ESXi.
  • Utilisez les commandes ESXCLI dans la ligne de commande ou dans les scripts. Reportez-vous à la section Commandes de pare-feu ESXCLI d'ESXi.
  • Utilisez un VIB personnalisé si le port que vous cherchez à ouvrir n'est pas inclus dans le profil de sécurité.

    Pour installer le VIB personnalisé, vous devez modifier le niveau d'acceptation de l'hôte ESXi sur CommunitySupported.

    Note : Si vous contactez le support technique VMware pour examiner un problème sur un hôte ESXi sur lequel un VIB CommunitySupported est installé, le support VMware peut vous demander de désinstaller ce VIB. Une telle demande est une étape de dépannage permettant de déterminer si ce VIB est lié au problème examiné.

Le comportement de l'ensemble de règles du client NFS (nfsClient) diffère de celui des autres ensembles de règles. Lorsque l'ensemble de règles du client NFS est activé, tous les ports TCP sortants sont ouverts aux hôtes de destination figurant dans la liste des adresses IP autorisées. Consultez Comportement du pare-feu client NFS pour plus d'informations.