環境内に複数の ESXi ホストが含まれている場合は、ESXCLI コマンドまたは vSphere Web Services SDK を使用してファイアウォール構成を自動化することをお勧めします。
ファイアウォール コマンド リファレンス
コマンドラインで ESXi Shell または vSphere CLI コマンドを使用して、ファイアウォール構成を自動化するように ESXi を構成できます。概要については、『ESXCLI スタート ガイド』を参照してください。ESXCLI を使用してファイアウォールおよびファイアウォール ルールを操作する例については、『vSphere コマンドライン インターフェイスの概念と範例』を参照してください。カスタムのファイアウォール ルールを作成する方法については、VMware ナレッジベースの記事KB2008226を参照してください。
| コマンド | 説明 |
|---|---|
| esxcli network firewall get | ファイアウォールのステータス(有効または無効)を返し、デフォルトのアクションのリストを表示します。 |
| esxcli network firewall set --default-action | デフォルトのアクションをパスに設定するには、true に設定します。デフォルトのアクションをドロップに設定するには、false に設定します。 |
| esxcli network firewall set --enabled | ESXi のファイアウォールを有効または無効にします。 |
| esxcli network firewall load | ファイアウォール モジュールとルール セットの構成ファイルをロードします。 |
| esxcli network firewall refresh | ファイアウォール モジュールがロードされている場合に、ルール セット ファイルを読み取ることでファイアウォールの構成を更新します。 |
| esxcli network firewall unload | フィルタを破棄し、ファイアウォール モジュールをアンロードします。 |
| esxcli network firewall ruleset list | ルール セット情報を一覧表示します。 |
| esxcli network firewall ruleset set --allowed-all | すべての IP アドレスへのすべてのアクセスを許可するには true に設定し、許可された IP アドレスのリストを使用するには false に設定します。 |
| esxcli network firewall ruleset set --enabled --ruleset-id=<string> | 指定したルールセットを有効にするには、有効を true に設定します。指定したルールセットを無効にするには、有効を false に設定します。 |
| esxcli network firewall ruleset allowedip list | 指定したルール セットの許可された IP アドレスを一覧表示します。 |
| esxcli network firewall ruleset allowedip add | 指定した IP アドレスまたは一定範囲内の IP アドレスからルール セットへのアクセスを許可します。 |
| esxcli network firewall ruleset allowedip remove | 指定した IP アドレスまたは一定範囲内の IP アドレスからルール セットへのアクセスを解除します。 |
| esxcli network firewall ruleset rule list | ファイアウォール内の各ルールセットのルールをリストします。 |
ファイアウォール コマンドの例
次の例は、virtuallyGhetto のブログ投稿からです。
- virtuallyGhetto と呼ばれる新しいルールセットを確認します。
esxcli network firewall ruleset rule list | grep virtuallyGhetto
- 特定のサービスにアクセスするには、特定の IP アドレスまたは IP アドレス範囲を指定します。次の例は、allow all オプションを無効にし、virtuallyGhetto サービスの特定の範囲を指定します。
esxcli network firewall ruleset set --allowed-all false --ruleset-id=virtuallyGhetto esxcli network firewall ruleset allowedip add --ip-address=172.30.0.0/24 --ruleset-id=virtuallyGhetto
