ESXi include un firewall abilitato per impostazione predefinita. Al momento dell'installazione, il firewall di ESXi viene configurato in modo da bloccare il traffico in entrata e in uscita, ad eccezione del traffico per i servizi abilitati nel profilo di sicurezza dell'host. È possibile gestire il firewall utilizzando vSphere Client, la CLI e l'API.

Quando si aprono le porte nel firewall, tenere presente che l'accesso illimitato ai servizi in esecuzione in un host ESXi può esporre un host ad attacchi esterni e ad accessi non autorizzati. Ridurre il rischio configurando il firewall ESXi per abilitare l'accesso solo dalle reti autorizzate.

Nota: Il firewall consente inoltre di effettuare i ping ICMP (Internet Control Message Protocol) e di comunicare con i client DHCP e DNS (solo UDP).

È possibile gestire le porte del firewall ESXi nel modo seguente:

  • Utilizzare Configura > Firewall per ogni host in vSphere Client. Vedere Gestire le impostazioni firewall ESXi.
  • Utilizzare i comandi ESXCLI dalla riga di comando o negli script. Vedere Utilizzo dei comandi del firewall ESXCLI per configurare il comportamento di ESXi.
  • Utilizzare un VIB personalizzato se la porta che si desidera aprire non è inclusa nel profilo di sicurezza.

    Per installare il VIB personalizzato, è necessario modificare il livello di accettazione dell'host ESXi su CommunitySupported.

    Nota: Se si contatta l'assistenza tecnica di VMware per analizzare un problema in un host ESXi in cui è installato un VIB CommunitySupported, l'assistenza VMware può richiedere la disinstallazione del VIB. Tale richiesta è un passaggio della procedura di risoluzione dei problemi per determinare se il VIB è correlato al problema in esame.

Il comportamento del set di regole di NFS Client (nfsClient) è diverso dagli altri set di regole. Quando il set di regole di NFS Client è abilitato, tutte le porte TCP in uscita sono aperte per gli host di destinazione nell'elenco degli indirizzi IP consentiti. Vedere Comportamento del firewall NFS Client per ulteriori informazioni.

Gestire le impostazioni firewall ESXi

È possibile configurare le connessioni del firewall in entrata e in uscita per un servizio o un agente di gestione dallo vSphere Client o dalla riga di comando.

Questa attività descrive come utilizzare vSphere Client ESXi per configurare le impostazioni del firewall. È possibile utilizzare i comandi ESXi Shell o ESXCLI per configurare ESXi nella riga di comando in modo da automatizzare la configurazione del firewall. Vedere Utilizzo dei comandi del firewall ESXCLI per configurare il comportamento di ESXi per esempi di utilizzo di ESXCLI al fine di manipolare i firewall e le regole del firewall.

Nota: Se servizi diversi hanno regole di porta sovrapposte, è possibile che l'abilitazione di un servizio abiliti implicitamente gli altri servizi. È possibile specificare a quali indirizzi IP è consentito accedere a ciascun servizio sull'host per evitare questo problema.

Procedura

  1. Accedere a vCenter Server utilizzando vSphere Client.
  2. Passare all'host nell'inventario.
  3. Fare clic su Configura, quindi su Firewall in Sistema.
    È possibile passare da una connessione in entrata a una in uscita e viceversa facendo clic su In entrata e su In uscita.
  4. Nella sezione Firewall, fare clic su Modifica.
  5. Selezionare uno dei gruppi di servizi Separato, Secure Shell e Protocollo di gestione della rete semplice.
  6. Selezionare i set di regole da attivare o deselezionare i set di regole da disattivare.
  7. Per alcuni servizi, è inoltre possibile gestire i dettagli del servizio passando a Configura > Sistema > Servizi.
    Per ulteriori informazioni sull'avvio, l'arresto e il riavvio dei servizi, vedere Attivazione o disattivazione di un servizio ESXi.
  8. Per alcuni servizi, è possibile specificare in modo esplicito gli indirizzi IP da cui sono consentite le connessioni.
    Vedere Aggiunta di indirizzi IP consentiti per un host ESXi.
  9. Fare clic su OK.

Aggiunta di indirizzi IP consentiti per un host ESXi

Per impostazione predefinita, il firewall di ogni servizio consente l'accesso a tutti gli indirizzi IP. Per limitare il traffico, modificare ogni servizio per consentire il traffico solo dalla subnet di gestione. È inoltre possibile deselezionare alcuni servizi se non in uso nel proprio ambiente.

Per aggiornare l'elenco di IP consentiti per un servizio, è possibile utilizzare vSphere Client, ESXCLI o PowerCLI. Questa attività descrive come utilizzare vSphere Client. Vedere l'argomento "Gestione del firewall ESXi" nella documentazione Concetti ed esempi di ESXCLI per istruzioni sull'uso di ESXCLI.

Procedura

  1. Accedere a vCenter Server utilizzando vSphere Client.
  2. Passare all'host ESXi.
  3. Fare clic su Configura, quindi su Firewall in Sistema.
    È possibile passare da una connessione in entrata a una in uscita e viceversa facendo clic su In entrata e su In uscita.
  4. Nella sezione Firewall, fare clic su Modifica.
  5. Selezionare uno dei tre gruppi di servizi Separato, Secure Shell e Protocollo di gestione della rete semplice.
  6. Per visualizzare la sezione Indirizzi IP consentiti, espandere un servizio.
  7. Nella sezione Indirizzi IP consentiti, deselezionare l'opzione Consenti connessioni da qualsiasi indirizzo IP e immettere gli indirizzi IP delle reti a cui è consentito connettersi all'host.
    Separare gli indirizzi IP con virgole. È possibile utilizzare i seguenti formati di indirizzi:
    • 192.168.0.0/24
    • 192.168.1.2, 2001::1/64
    • fd3e:29a6:0a81:e478::/64
  8. Assicurarsi che sia selezionato il servizio stesso.
  9. Fare clic su OK.
  10. Verificare la modifica nella colonna Indirizzi IP consentiti per il servizio.

Porte firewall in entrata e in uscita per gli host ESXi

Aprire e chiudere le porte del firewall per ogni servizio utilizzando vSphere Client o VMware Host Client.

ESXi include un firewall abilitato per impostazione predefinita. Al momento dell'installazione, il firewall ESXi viene configurato per bloccare il traffico in entrata e in uscita, ad eccezione del traffico per i servizi abilitati nel profilo di sicurezza dell'host. Per un elenco delle porte e dei protocolli supportati nel firewall ESXi, vedere la VMware Ports and Protocols Tool™ all'https://ports.vmware.com/.

Lo strumento VMware Ports and Protocols di elenca le informazioni sulle porte per i servizi installati per impostazione predefinita. Se si installano altri VIB nell'host, è possibile che siano disponibili servizi aggiuntivi e porte del firewall. Le informazioni sono principalmente per i servizi di visibili nella vSphere Client, ma VMware Ports and Protocols Tool include anche alcune altre porte.

Comportamento del firewall NFS Client

Il set di regole del firewall NFS Client si comporta in modo diverso dagli altri set di regole del firewall ESXi. ESXi configura le impostazioni di NFS Client quando si monta o si smonta un datastore NFS. Il comportamento è diverso per le diverse versioni di NFS.

Quando si aggiunge, si monta o si smonta un datastore NFS il comportamento risultante dipende dalla versione di NFS.

Comportamento del firewall di NFS v3

Quando si aggiunge o si monta un datastore NFS v3, ESXi verifica lo stato del set di regole del firewall NFS Client (nfsClient).

  • Se il set di regole nfsClient è disattivato, ESXi attiva il set di regole e disattiva il criterio Consenti tutti gli indirizzi IP impostando il flag allowedAll su FALSE. L'indirizzo IP del server NFS viene aggiunto all'elenco di indirizzi IP in uscita consentiti.
  • Se il set di regole nfsClient è attivato, lo stato del set di regole e il criterio dell'indirizzo IP consentito non vengono modificati. L'indirizzo IP del server NFS viene aggiunto all'elenco di indirizzi IP in uscita consentiti.
Nota: Se si attiva manualmente il set di regole nfsClient o si imposta manualmente il criterio Consenti tutti gli indirizzi IP prima o dopo aver aggiunto un datastore NFS v3 al sistema, le impostazioni vengono sostituite quando l'ultimo datastore NFS v3 viene smontato. Il set di regole nfsClient viene disattivato quando tutti i datastore NFS v3 vengono smontati.

Quando si rimuove o si smonta un datastore NFS v3, ESXi esegue una delle seguenti azioni.

  • Se nessuno dei datastore NFS v3 rimanenti viene montato dal server del datastore da smontare, ESXi rimuove l'indirizzo IP del server dall'elenco di indirizzi IP in uscita.
  • Se dopo l'operazione di smontaggio non rimane alcun datastore NFS v3 montato, ESXi disattiva il set di regole del firewall nfsClient.

Comportamento del firewall di NFS v4.1

Quando si monta il primo datastore NFS v4.1, ESXi attiva il set di regole nfs41client e imposta il flag allowedAll su TRUE. Questa azione apre la porta 2049 per tutti gli indirizzi IP. Lo smontaggio di un datastore NFS v4.1 non influisce sullo stato del firewall. Ciò significa che il primo montaggio di NFS v4.1 apre la porta 2049 e tale porta rimane attivata a meno che non la si chiuda esplicitamente.

Utilizzo dei comandi del firewall ESXCLI per configurare il comportamento di ESXi

Se l'ambiente include più host ESXi, automatizzare la configurazione firewall utilizzando i comandi ESXCLI o vSphere Web Services SDK.

Guida di riferimento al comando firewall

È possibile utilizzare i comandi ESXi Shell o ESXCLI per configurare ESXi nella riga di comando per automatizzare la configurazione di un firewall. Per manipolare i firewall e le regole del firewall, consultare Guida introduttiva a ESXCLI per un'introduzione ed Esempi e concetti di ESXCLI per esempi sull'utilizzo di ESXCLI.

In ESXi 7.0 e versioni successive, l'accesso al file service.xml, utilizzato per creare regole del firewall personalizzate, è limitato. Per informazioni sulla creazione di regole del firewall personalizzate utilizzando il file /etc/rc.local.d/local.sh, consultare l'articolo della Knowledge Base di VMware 2008226.

Tabella 1. Comandi firewall
Comando Descrizione
esxcli network firewall get Restituisce lo stato del firewall ed elenca le azioni predefinite.
esxcli network firewall set --default-action Impostare su true per convalidare l'azione predefinita. Impostare su false per non convalidare l'azione predefinita.
esxcli network firewall set --enabled Attivare o disattivare il firewall ESXi.
esxcli network firewall load Caricare il modulo del firewall e i file di configurazione del set di regole.
esxcli network firewall refresh Aggiornare la configurazione del firewall leggendo i file del set di regole se il modulo firewall è caricato.
esxcli network firewall unload Eliminare i filtri e scaricare il modulo del firewall.
esxcli network firewall ruleset list Elencare le informazioni sui set di regole.
esxcli network firewall ruleset set --allowed-all Impostare su true per consentire l'accesso a tutti gli IP. Impostare su false per utilizzare un elenco di indirizzi IP consentiti.
esxcli network firewall ruleset set --enabled --ruleset-id=<string> Impostare enabled su true per attivare il set di regole specificato. Impostare enabled su false per disattivare il set di regole specificato.
esxcli network firewall ruleset allowedip list Elencare gli indirizzi IP consentiti del set di regole specificato.
esxcli network firewall ruleset allowedip add Consentire l'accesso al set di regole dall'indirizzo IP o dall'intervallo di indirizzi IP specificato.
esxcli network firewall ruleset allowedip remove Rimuovere l'accesso al set di regole dall'indirizzo IP o dall'intervallo di indirizzi IP specificato.
esxcli network firewall ruleset rule list Elencare le regole di ogni set di regole nel firewall.