環境内に複数の ESXi ホストが含まれている場合は、ESXCLI コマンドまたは vSphere Web Services SDK を使用してファイアウォール構成を自動化することをお勧めします。
ファイアウォール コマンド リファレンス
コマンドラインで ESXi Shell または vSphere CLI コマンドを使用して、ファイアウォール構成を自動化するように ESXi を構成できます。概要については、『vSphere コマンドライン インターフェイス スタート ガイド』を参照してください。ESXCLI を使用してファイアウォールおよびファイアウォール ルールを操作する例については、『vSphere コマンドライン インターフェイスの概念と範例』を参照してください。カスタムのファイアウォール ルールを作成する方法については、VMware ナレッジベースの記事KB2008226を参照してください。
コマンド | 説明 |
---|---|
esxcli network firewall get | ファイアウォールのステータス(有効または無効)を返し、デフォルトのアクションのリストを表示します。 |
esxcli network firewall set --default-action | デフォルトのアクションをパスに設定するには、true に設定します。デフォルトのアクションをドロップに設定するには、false に設定します。 |
esxcli network firewall set --enabled | ESXi のファイアウォールを有効または無効にします。 |
esxcli network firewall load | ファイアウォール モジュールとルール セットの構成ファイルをロードします。 |
esxcli network firewall refresh | ファイアウォール モジュールがロードされている場合に、ルール セット ファイルを読み取ることでファイアウォールの構成を更新します。 |
esxcli network firewall unload | フィルタを破棄し、ファイアウォール モジュールをアンロードします。 |
esxcli network firewall ruleset list | ルール セット情報を一覧表示します。 |
esxcli network firewall ruleset set --allowed-all | すべての IP アドレスへのすべてのアクセスを許可するには true に設定し、許可された IP アドレスのリストを使用するには false に設定します。 |
esxcli network firewall ruleset set --enabled --ruleset-id=<string> | 指定したルールセットを有効にするには、有効を true に設定します。指定したルールセットを無効にするには、有効を false に設定します。 |
esxcli network firewall ruleset allowedip list | 指定したルール セットの許可された IP アドレスを一覧表示します。 |
esxcli network firewall ruleset allowedip add | 指定した IP アドレスまたは一定範囲内の IP アドレスからルール セットへのアクセスを許可します。 |
esxcli network firewall ruleset allowedip remove | 指定した IP アドレスまたは一定範囲内の IP アドレスからルール セットへのアクセスを解除します。 |
esxcli network firewall ruleset rule list | ファイアウォール内の各ルールセットのルールをリストします。 |
ファイアウォール コマンドの例
次の例は、virtuallyGhetto のブログ投稿からです。
- virtuallyGhetto と呼ばれる新しいルールセットを確認します。
esxcli network firewall ruleset rule list | grep virtuallyGhetto
- 特定のサービスにアクセスするには、特定の IP アドレスまたは IP アドレス範囲を指定します。次の例は、allow all オプションを無効にし、virtuallyGhetto サービスの特定の範囲を指定します。
esxcli network firewall ruleset set --allowed-all false --ruleset-id=virtuallyGhetto esxcli network firewall ruleset allowedip add --ip-address=172.30.0.0/24 --ruleset-id=virtuallyGhetto