ESXi contient un pare-feu activé par défaut. Au moment de l'installation, le pare-feu ESXi est configuré pour bloquer le trafic entrant et sortant, sauf le trafic des services activés dans le profil de sécurité de l'hôte. Vous pouvez gérer le pare-feu à l'aide de vSphere Client, de l'interface de ligne de commande et de l'API.

Réfléchissez bien avant d'ouvrir des ports sur le pare-feu, car l'accès illimité aux services qui s'exécutent sur un hôte ESXi peut exposer ce dernier aux attaques extérieures et aux accès non autorisés. Pour minimiser les risques, configurez le pare-feu ESXi de manière à autoriser l'accès uniquement depuis les réseaux autorisés.

Note : Le pare-feu permet également d'utiliser les commandes ping ICMP (Internet Control Message Protocol) et autorise les communications avec les clients DHCP et DNS (UDP uniquement).

Vous pouvez gérer les ports du pare-feu d'ESXi de la manière suivante :

  • Utilisez Configurer > Pare-feu pour chaque hôte dans vSphere Client. Reportez-vous à la section Gérer les paramètres du pare-feu ESXi.
  • Utilisez les commandes ESXCLI dans la ligne de commande ou dans les scripts. Reportez-vous à la section Utilisation des commandes de pare-feu ESXCLI pour configurer le comportement d'ESXi.
  • Utilisez un VIB personnalisé si le port que vous cherchez à ouvrir n'est pas inclus dans le profil de sécurité.

    Pour installer le VIB personnalisé, vous devez modifier le niveau d'acceptation de l'hôte ESXi sur CommunitySupported.

    Note : Si vous contactez le support technique VMware pour examiner un problème sur un hôte ESXi sur lequel un VIB CommunitySupported est installé, le support VMware peut vous demander de désinstaller ce VIB. Une telle demande est une étape de dépannage permettant de déterminer si ce VIB est lié au problème examiné.

Le comportement de l'ensemble de règles du client NFS (nfsClient) diffère de celui des autres ensembles de règles. Lorsque l'ensemble de règles du client NFS est activé, tous les ports TCP sortants sont ouverts aux hôtes de destination figurant dans la liste des adresses IP autorisées. Consultez Comportement du pare-feu client NFS pour plus d'informations.

Gérer les paramètres du pare-feu ESXi

Vous pouvez configurer les connexions de pare-feu entrantes et sortantes pour un agent de service ou de gestion dans vSphere Client ou sur la ligne de commande.

Cette tâche explique comment utiliser l'instance de vSphere Client pour configurer des paramètres de pare-feu ESXi. Vous pouvez utiliser les commandes d'ESXi Shell ou d'ESXCLI pour configurer ESXi sur la ligne de commande afin d'automatiser la configuration du pare-feu. Reportez-vous à Utilisation des commandes de pare-feu ESXCLI pour configurer le comportement d'ESXi pour obtenir des exemples d'utilisation d'ESXCLI pour manipuler des pare-feu et des règles de pare-feu.

Note : Si différents services ont des règles de port qui se chevauchent, l'activation d'un service peut implicitement activer d'autres services. Vous pouvez spécifier les adresses IP qui sont autorisées à accéder à chacun des services sur l'hôte afin d'éviter ce problème.

Procédure

  1. Connectez-vous à vCenter Server en utilisant vSphere Client.
  2. Accédez à l'hôte dans l'inventaire.
  3. Cliquez sur Configurer, puis sur Pare-feu sous Système.
    Vous pouvez basculer entre les connexions entrantes et sortantes en cliquant sur Entrant ou sur Sortant.
  4. Dans la section Pare-feu, cliquez sur Modifier.
  5. Sélectionnez l'un des groupes de services, Dégroupé, Secure Shell et Protocole de gestion de réseau simple SNMP.
  6. Sélectionnez les ensembles de règles à activer ou désélectionnez les ensembles de règles à désactiver.
  7. Pour certains services, vous pouvez également gérer les détails du service en accédant à Configurer > Système > Services.
    Pour plus d'informations sur le démarrage, l'arrêt et le redémarrage des services, reportez-vous à la section Activer ou désactiver un service ESXi.
  8. Pour certains services, vous pouvez spécifier explicitement les adresses IP à partir desquelles les connexions sont autorisées.
    Reportez-vous à la section Ajouter des adresses IP autorisées pour un hôte ESXi.
  9. Cliquez sur OK.

Ajouter des adresses IP autorisées pour un hôte ESXi

Par défaut, le pare-feu de chaque service autorise l'accès à toutes les adresses IP. Pour restreindre le trafic, modifiez chaque service pour autoriser uniquement le trafic provenant de votre sous-réseau de gestion. Vous pouvez également annuler la sélection de certains services si votre environnement ne les utilise pas.

Pour mettre à jour la liste d'adresses IP autorisées d'un service, vous pouvez utiliser vSphere Client, ESXCLI ou PowerCLI. Cette tâche explique comment utiliser vSphere Client. Pour obtenir des instructions sur l'utilisation d'ESXCLI, consultez la section intitulée « Gestion du pare-feu VMware ESXi » dans Concepts et exemples d'ESXCLI.

Procédure

  1. Connectez-vous à vCenter Server en utilisant vSphere Client.
  2. Accédez à l'hôte ESXi.
  3. Cliquez sur Configurer, puis sur Pare-feu sous Système.
    Vous pouvez basculer entre les connexions entrantes et sortantes en cliquant sur Entrant ou sur Sortant.
  4. Dans la section Pare-feu, cliquez sur Modifier.
  5. Sélectionnez l'un des trois groupes de services, Dégroupé, Secure Shell et Protocole de gestion de réseau simple SNMP.
  6. Pour afficher la section Adresses IP autorisées, développez un service.
  7. Dans la section Adresses IP autorisées, désélectionnez Autoriser les connexions de toutes les adresses IP, puis saisissez les adresses IP des réseaux autorisés à se connecter à l'hôte.
    Séparez les adresses IP avec des virgules. Vous pouvez utiliser les formats d'adresse suivants :
    • 192.168.0.0/24
    • 192.168.1.2, 2001::1/64
    • fd3e:29a6:0a81:e478::/64
  8. Assurez-vous que le service lui-même est sélectionné.
  9. Cliquez sur OK.
  10. Vérifiez la modification que vous avez apportée dans la colonne Adresses IP autorisées du service.

Ports de pare-feu entrants et sortants pour les hôtes ESXi

Ouvrez et fermez les ports de pare-feu pour chaque service à l'aide de vSphere Client ou de VMware Host Client.

ESXi contient un pare-feu activé par défaut. Lors de l'installation, le pare-feu ESXi est configuré pour bloquer le trafic entrant et sortant, sauf le trafic des services activés dans le profil de sécurité de l'hôte. Pour obtenir la liste des ports et protocoles pris en charge dans le pare-feu ESXi, reportez-vous à la section Outil Ports et protocoles de VMware™ à l'adresse https://ports.vmware.com/.

L'outil VMware Ports and Protocols répertorie les informations de port pour les services installés par défaut. Il est possible de disposer de services et de ports de pare-feu supplémentaires en installant d'autres VIB sur l'hôte. Ces informations s'adressent principalement aux services visibles dans vSphere Client mais l'outil VMware Ports and Protocols inclut aussi d'autres ports.

Comportement du pare-feu client NFS

L'ensemble de règles de pare-feu du client NFS ne se comporte pas comme les ensembles de règles de pare-feu ESXi. ESXi configure les paramètres du client NFS lorsque vous montez ou démontez une banque de données NFS. Le comportement dépend de la version de NFS.

Lorsque vous ajoutez, montez ou démontez une banque de données NFS, le comportement obtenu dépend de la version de NFS.

Comportement du pare-feu NFS v3

Lorsque vous ajoutez ou montez une banque de données NFS v3, ESXi vérifie l'état de l'ensemble de règles de pare-feu du client NFS (nfsClient).

  • Si l'ensemble de règles nfsClient est désactivé, ESXi active l'ensemble de règles et désactive la stratégie Autoriser toutes les adresses IP en définissant l'indicateur allowedAll sur FALSE. L'adresse IP du serveur NFS est ajoutée à la liste des adresses IP sortantes autorisées.
  • Si l'ensemble de règles nfsClient est activé, l'état de l'ensemble de règles et la stratégie d'adresse IP autorisée ne sont pas modifiés. L'adresse IP du serveur NFS est ajoutée à la liste des adresses IP sortantes autorisées.
Note : Si vous activez manuellement l'ensemble de règles nfsClient ou configurez manuellement la stratégie Autoriser toutes les adresses IP, avant ou après avoir ajouté une banque de données NFS v3 dans le système, vos paramètres sont remplacés lorsque la dernière banque de données NFS v3 est démontée. L'ensemble de règles nfsClient est désactivé lorsque toutes les banques de données NFS v3 sont démontées.

Lorsque vous supprimez ou démontez une banque de données NFS v3, ESXi réalise l'une des actions suivantes.

  • Si aucune des banques de données NFS v3 restantes n'est montée à partir du serveur de la banque de données que vous être en train de démonter, ESXi supprime l'adresse IP du serveur dans la liste des adresses IP sortantes.
  • S'il ne reste aucune banque de données NFS v3 montée une fois l'opération de démontage terminée, ESXi désactive l'ensemble de règles de pare-feu nfsClient.

Comportement du pare-feu NFS v4.1

Lorsque vous montez la première banque de données NFS v4.1, ESXi active l'ensemble de règles nfs41client et définit son indicateur allowedAll sur TRUE. Cette action ouvre le port 2049 pour toutes les adresses IP. Le démontage d'une banque de données NFS v4.1 n'a pas d'impact sur l'état du pare-feu. En d'autres termes, le port 2049 s'ouvre la première fois que vous montez une banque de données NFS v4.1 et reste ouvert jusqu'à ce que vous le fermiez explicitement.

Utilisation des commandes de pare-feu ESXCLI pour configurer le comportement d'ESXi

Si votre environnement inclut plusieurs hôtes ESXi, automatisez la configuration du pare-feu à l'aide des commandes ESXCLI ou de vSphere Web Services SDK.

Référence des commandes de pare-feu

Vous pouvez utiliser les commandes d'ESXi Shell ou d'ESXCLI pour configurer ESXi sur la ligne de commande afin d'automatiser la configuration du pare-feu. Pour manipuler des pare-feu et des règles de pare-feu, consultez Démarrage avec ESXCLI pour une introduction et Concepts et exemples d'ESXCLI pour des exemples d'utilisation d'ESXCLI.

Dans ESXi 7.0 et versions ultérieures, l'accès au fichier service.xml, utilisé pour créer des règles de pare-feu personnalisées, est restreint. Pour plus d'informations sur la création de règles de pare-feu personnalisées, consultez l'article 2008226 de la base de connaissances VMware en utilisant le fichier /etc/rc.local.d/local.sh.

Tableau 1. Commandes du pare-feu
Commande Description
esxcli network firewall get Renvoyez l'état du pare-feu et répertoriez les actions par défaut.
esxcli network firewall set --default-action Définir sur True pour définir Passer comme action par défaut. Définir sur False pour définir Abandonner comme action par défaut.
esxcli network firewall set --enabled Activer ou désactiver le pare-feu d'ESXi.
esxcli network firewall load Charger le module du pare-feu et les fichiers de configuration d'ensemble de règles.
esxcli network firewall refresh Actualiser la configuration du pare-feu en lisant les fichiers d'ensemble de règles si le module du pare-feu est chargé.
esxcli network firewall unload Détruire les filtres et décharger le module du pare-feu.
esxcli network firewall ruleset list Répertorier les informations des ensembles de règles.
esxcli network firewall ruleset set --allowed-all Définir sur True pour permettre l'accès à toutes les adresses IP. Définir sur False pour utiliser une liste d'adresses IP autorisées.
esxcli network firewall ruleset set --enabled --ruleset-id=<string> Définir la propriété sur True pour activer l'ensemble de règles spécifié. Définir la propriété sur False pour désactiver l'ensemble de règles spécifié.
esxcli network firewall ruleset allowedip list Répertorier les adresses IP autorisées de l'ensemble de règles spécifié.
esxcli network firewall ruleset allowedip add Autoriser l'accès à l'ensemble de règles à partir de l'adresse IP ou de la plage d'adresses IP spécifiée.
esxcli network firewall ruleset allowedip remove Supprimer l'accès à l'ensemble de règles à partir de l'adresse IP ou de la plage d'adresses IP spécifiée.
esxcli network firewall ruleset rule list Lister les règles de chaque ensemble de règles du pare-feu.