Lesezeit
1 Minute
Seite 2 - VMs sicher im Netzwerk betreiben (2)
Firewall mit ESXi-Shell anpassen
Ein Weg, die Firewall zu konfigurieren, führt über die ESXi-Shell. Damit Sie die Firewall in vSphere auf einem Host überwachen oder anpassen können, rufen Sie im vSphere-Client zunächst die Registerkarte "Konfiguration" des vSphere-Hosts auf. Wechseln Sie danach in den Menüpunkt "Sicherheitsprofil". Über den Bereich "Dienste" sehen Sie alle gestarteten Dienste auf dem jeweiligen Host. Auch hierüber erhöhen Sie übrigens die Sicherheit im Netzwerk, indem Sie nicht notwendige Dienste beenden
Bild 4: Mit Putty, SSH und esxcli lassen Sie sich die Einstellungen der vSphere-Firewall
sowie die geöffneten Ports auf einem Host anzeigen.
Damit Sie über das Netzwerk mit der ESXi-Shell einen Host verwalten können, rufen Sie die Eigenschaften der Dienste auf. Starten Sie hier, sofern sie nicht schon laufen, die beiden Dienste SSH und ESXi-Shell. Danach können Sie mit einem SSH-Client wie Putty auf die Shell des Hosts zugreifen. Sobald Sie sich mit Putty als Root-Benutzer mit dem vSphere-Host verbunden haben, führen Sie über das Befehlszeilentool "esxcli" verschiedene Aufgaben durch [1], zum Beispiel das Steuern der Firewall. So können Sie etwa die Firewall-Regeln auf einem vSphere-Host anzeigen lassen. Dazu verwenden Sie den Befehl
esxcli network firewall ruleset rule listDen aktuellen Status der Firewall auf einem Host erfahren Sie mit
esxcli network firewall getIst die Firewall deaktiviert, können Sie diese mit dem Befehl
esxcli network firewall set --enabled trueaktivieren. Darüber hinaus haben Sie auch die Möglichkeit, das Standardverhalten der Firewall zu definieren. Setzen Sie den Wert auf "true" wird standardmäßig der komplette Datenverkehr zugelassen, setzen Sie den Wert auf "false", blockiert die vSphere-Firewalls standardmäßig jeden Datenverkehr, außer speziell erlaubtem. Die Syntax für den Befehl lautet:
esxcli network firewall set --default-action=true esxcli network firewall set --default-action=falseNehmen Sie Änderungen an der Firewall-Konfiguration vor, sollten Sie die Firewall so aktualisieren:
esxcli network firewall refreshSie können natürlich auch einzelne Regelsätze aktivieren oder deaktivieren:
esxcli network firewall ruleset set --ruleset-id=syslog --enabled true --allowed-all falseJeder Regelsatz in der vSphere-Firewall besteht aus verschiedenen Regeln. Möchten Sie sich die Regeln für einen bestimmten Regelsatz anzeigen, verwenden Sie den Befehl
esxcli network firewall ruleset rule list --ruleset-id syslogSie können die Konfiguration der Firewall auch direkt über deren XML-Steuerdatei vornehmen. Dazu nutzen Sie zum Beispiel den Linux-Editor vi. Um die Konfigurationsdatei zu öffnen, verwenden Sie
vi /etc/vmware/service/service.xmlSeite 1: Firewall in vCenter nutzen
Seite 2: Firewall mit ESXi-Shell anpassen
Im dritten Teil erklären wir, wie Sie Zertifikate in vSphere verwalten und in vCenter installieren. Im ersten Teil warfen wir einen Blick auf Security-Grundlagen wie sichere Passwörter und den Schutz für Storage und Netzwerk.
<< Vorherige Seite | Seite 2 von 2 |
dr/ln/Thomas Joos
[1] www.doublecloud.org/2015/05/vmware-esxi-esxcli-command-a-quick-tutorial