Come aprire le porte non standard nel firewall su esxi 6.0

Il firewall su esxi 6.0 permette, come per le versioni precedenti, di aprire o chiudere le porte standard in modo molto semplice e intuitivo da vSphere Web Client.

Aprire porte non standard nel firewall su esxi 6.0

La normale gestione del firewall nelle esxi vmware 6.0 può essere tranquillamente fatta su vsphere web client, esattamente selezionando l’host (l’esxi) e aprendo:

Manage > Security Profiles

firewall su esxi 6.0

Tramite il tasto EDIT possiamo decidere quali dei servizi predefiniti con le relative porte abilitare e quali no, possiamo anche aggiungere un filtro sugli ip con cui è permessa la comunicazione.

Ma come si può aggiungere un servizio e le relative porte nel firewall su esxi 6.0?

La maggior parte delle risposte che ho trovato sul web mi davano una soluzione per le esxi 5.x ma che non funzionava su esxi 6.0. Questa soluzione prevede di collegarsi via ssh alla esxi e cercare il file /etc/vmware/firewall/service.xml al quale vanno prima cambiati i permessi e poi editato, come indicato nella procedura ufficiale:

https://kb.vmware.com/s/article/2008226

Anche su esxi 6.0 per poter aggiungere una porta al firewall è necessario collegarsi in ssh sull’esxi. Però anzichè editare il file services.xml è necessario creare un nuovo file.

Ad esempio ipotizziamo di volere aprire la porta in uscita 15001 tcp per un nostro servizio, creiamo un nuovo file servizio.xml (il nome è irrilevante, meglio però se spiega già di cosa si tratta nel file) e editiamolo come segue

#vi /etc/vmware/firewall/mioservizio.xml

<!-- Firewall configuration information for IL MIO SERVIZIO -->
<ConfigRoot>
<service id='0000'>
<id>mioservizio</id>
&nbsp; <rule id='0000'>
&nbsp; &nbsp;<direction>outbound</direction>
&nbsp; &nbsp; <protocol>tcp</protocol>
&nbsp; &nbsp; &nbsp;<porttype>dst</porttype>
&nbsp; &nbsp; &nbsp;<port>15001</port>
&nbsp; &nbsp;</rule>
<enabled>true</enabled>
<required>false</required>
</service>
</ConfigRoot>

Se dovessimo aggiungere porte al servizio replichiamo la parte inclusa dentro <rule> incrementando l’id, idem se dobbiamo aggiungere un servizio creiamo una nuova sezione <service> incrementando l’id.

Infine ricarichiamo le regole del firewall

#esxcli network firewall refresh

 

 

 

 

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.