ESXi contient un pare-feu activé par défaut. Au cours de l'installation, le pare-feu ESXi est configuré pour bloquer le trafic entrant et sortant, sauf le trafic des services activés dans le profil de sécurité de l'hôte.

Réfléchissez bien avant d'ouvrir des ports sur le pare-feu, car l'accès illimité aux services qui s'exécutent sur un hôte ESXi peut exposer ce dernier aux attaques extérieures et aux accès non autorisés. Pour minimiser les risques, configurez le pare-feu ESXi de manière à autoriser l'accès uniquement depuis les réseaux autorisés.

Note : Le pare-feu permet également d'utiliser les commandes ping ICMP (ou Internet Control Message Protocol) et autorise les communications avec les clients DHCP et DNS (UDP uniquement).

Gérer les paramètres du pare-feu ESXi à l'aide de VMware Host Client

Quand vous êtes connecté à un hôte ESXi avec VMware Host Client, vous pouvez configurer les connexions de pare-feu entrantes et sortantes pour un agent de service ou de gestion.

Note : Si différents services ont des règles de port qui se chevauchent, l'activation d'un service peut implicitement activer d'autres services. Vous pouvez spécifier les adresses IP qui sont autorisées à accéder à chacun des services sur l'hôte afin d'éviter ce problème.

Procédure

  1. Cliquez sur Mise en réseau dans l'inventaire VMware Host Client.
  2. Cliquez sur Règles du pare-feu.
    VMware Host Client affiche la liste des connexions entrantes et sortantes actives avec les ports de pare-feu correspondants.
  3. Pour certains services, vous pouvez gérer les détails du service. Cliquez avec le bouton droit sur un service et sélectionnez une option dans le menu contextuel.
    • Utilisez les boutons Démarrer, Arrêter ou Redémarrer pour modifier temporairement l'état d'un service.
    • Modifiez la stratégie de démarrage pour configurer le service afin qu'il démarre et s'arrête avec l'hôte, les ports de pare-feu ou manuellement.

Ajouter des adresses IP autorisées pour ESXi Host avec VMware Host Client

Par défaut, le pare-feu de chaque service autorise l'accès à toutes les adresses IP. Pour restreindre le trafic, configurez chaque service pour autoriser uniquement le trafic provenant de votre sous-réseau de gestion. Vous pouvez également annuler la sélection de certains services si votre environnement ne les utilise pas.

Procédure

  1. Cliquez sur Mise en réseau dans l'inventaire VMware Host Client et cliquez sur Règles des pare-feu.
  2. Cliquez sur un service dans la liste, puis cliquez sur Modifier les paramètres.
  3. Dans la section Adresses IP autorisées, cliquez sur Autoriser uniquement les connexions des réseaux suivants, puis saisissez les adresses IP des réseaux que vous souhaitez connecter à l'hôte.
    Séparez les adresses IP avec des virgules. Vous pouvez utiliser les formats d'adresse suivants :
    • 192.168.0.0/24
    • 192.168.1.2, 2001::1/64
    • fd3e:29a6:0a81:e478::/64
  4. Cliquez sur OK.