環境内に複数の ESXi ホストが含まれている場合は、ESXCLI コマンドまたは vSphere Web Services SDK を使用してファイアウォール構成を自動化することをお勧めします。

ファイアウォール コマンド リファレンス

コマンドラインで ESXi Shell または vSphere CLI コマンドを使用して、ファイアウォール構成を自動化するように ESXi を構成できます。概要については、『vSphere コマンドライン インターフェイス スタート ガイド』を参照してください。ESXCLI を使用してファイアウォールおよびファイアウォール ルールを操作する例については、『vSphere コマンドライン インターフェイスの概念と範例』を参照してください。

表 1. ファイアウォールのコマンド

コマンド

説明

esxcli network firewall get

ファイアウォールのステータス(有効または無効)を返し、デフォルトのアクションのリストを表示します。

esxcli network firewall set --default-action

デフォルトのアクションをパスに設定するには、true に設定します。デフォルトのアクションをドロップに設定するには、false に設定します。

esxcli network firewall set --enabled

ESXi のファイアウォールを有効または無効にします。

esxcli network firewall load

ファイアウォール モジュールとルール セットの構成ファイルをロードします。

esxcli network firewall refresh

ファイアウォール モジュールがロードされている場合に、ルール セット ファイルを読み取ることでファイアウォールの構成を更新します。

esxcli network firewall unload

フィルタを破棄し、ファイアウォール モジュールをアンロードします。

esxcli network firewall ruleset list

ルール セット情報を一覧表示します。

esxcli network firewall ruleset set --allowed-all

すべての IP アドレスへのすべてのアクセスを許可するには true に設定し、許可された IP アドレスのリストを使用するには false に設定します。

esxcli network firewall ruleset set --enabled --ruleset-id=<string>

指定したルールセットを有効にするには、有効を true に設定します。指定したルールセットを無効にするには、有効を false に設定します。

esxcli network firewall ruleset allowedip list

指定したルール セットの許可された IP アドレスを一覧表示します。

esxcli network firewall ruleset allowedip add

指定した IP アドレスまたは一定範囲内の IP アドレスからルール セットへのアクセスを許可します。

esxcli network firewall ruleset allowedip remove

指定した IP アドレスまたは一定範囲内の IP アドレスからルール セットへのアクセスを解除します。

esxcli network firewall ruleset rule list

ファイアウォール内の各ルールセットのルールをリストします。

ファイアウォール コマンドの例

次の例は、virtuallyGhetto のブログ投稿からです。

  1. virtuallyGhetto と呼ばれる新しいルールセットを確認します。

    esxcli network firewall ruleset rule list | grep virtuallyGhetto

  2. 特定のサービスにアクセスするには、特定の IP アドレスまたは IP アドレス範囲を指定します。次の例は、allow all オプションを無効にし、virtuallyGhetto サービスの特定の範囲を指定します。

    esxcli network firewall ruleset set --allowed-all false --ruleset-id=virtuallyGhetto
    esxcli network firewall ruleset allowedip add --ip-address=172.30.0.0/24 --ruleset-id=virtuallyGhetto