これまでの投稿にひき続き、NSX for vSphere の 分散ファイアウォール(DFW)の様子を、

vRealize Log Insight(vRLI)を利用して見てみます。

 

これまでで Drop のログを見てみたので、今回は DFW で通信が許可される様子を見てみようと思います。

ただし、システム負荷への考慮などにより、通常はファイアウォールの通信許可ログを定常取得することは少ないと思います。

ここでは DFW の様子見を目的として、あえて許可ルールのログを有効にしています。

 

この投稿での利用製品バージョンや環境については下記をご覧ください。

vRealize Log Insight で NSX DFW の Drop を確認してみる。Part.1

vRealize Log Insight で NSX DFW の Drop を確認してみる。Part.2

vRealize Log Insight で NSX DFW の Drop を確認してみる。Part.3

 

テスト用の通信を発生させる。

まず意図的に、現状だと Drop される通信を発生させます。

前回同様、curl で vm01(10.1.10.101)から ext-vm01(192.168.1.223)の 80 番ポートへひたすらアクセスします。

そして、期待どおり DFW により通信できない状態です。

root@vm01 [ ~ ]# while :; do curl --connect-timeout 1 192.168.1.223:80; sleep 2; done

curl: (28) Connection timed out after 1001 milliseconds

curl: (28) Connection timed out after 1001 milliseconds

curl: (28) Connection timed out after 1001 milliseconds

curl: (28) Connection timed out after 1001 milliseconds

(以下略・・・)

 

ただ、許可ルールが適用されると標準出力が多くなるので、

コマンドラインは下記のような感じでもよいかもしれません。

root@vm01 [ ~ ]# while :; do curl -s --connect-timeout 1 192.168.1.223:80; sleep 2; done > /dev/null

 

vRLI ダッシュ―ボードの準備。

vRLI のダッシュボードを見てみます。

まず 「Distributed Firewall - Traffic」ダッシュボードです。

  • 10.1.10101 から
  • 192.168.1.223 への
  • (TCP の)80 番ポート 宛

の通信が Drop されている様子がわかります。

vrli-dfw-04-01.png

 

そして、「Distributed Firewall - Overview」ダッシュボードを見ます。

ずっと curl を実行しているので、「Firewall actions」チャートで drop 一定量あがり続けています。

ここで、右上のボタンで「プレゼンテーション モード」を開始しておきます。

vrli-dfw-04-02.png

 

プレゼンテーション モード がオンになりました。

画面がリアルタイム更新されるので、ここで DFW のルールが反映される様子を見てみます。

vrli-dfw-04-03.png

 

DFW での許可ルール追加。

vSphere Web Client で、vm01(10.1.10.101)→ ext-vm01(192.168.1.223)への、

HTTP サービス(TCP 80 番)を許可するルールを追加します。

今回は、ルール ID 1094 でルールが作成されました。

作成したルールの「操作」列の編集ボタンをクリックして・・・

vrli-dfw-04-04.png

 

あえて許可ルールで通信がとおったログを出力するため、

「ログに記録」を選択・保存したうえで「変更の発行」をクリックします。

vrli-dfw-04-05.png

 

許可ルールがは適用されて、vm01 で実行している curl で HTML が取得できるようになりました。

vrli-dfw-04-06.png

 

vRLI のダッシュボードでは「Firewall audit events y operation」チャートで、

DFW の設定変更をした「save configuration」のカウントがあがったタイミングから通信が通過するようになり、

「Firewall actions」チャートで DFW による drop が pass に置き換わった様子が分かります。

そして、追加した許可ルールである ルール ID 1094 がヒットするようになりました。

vrli-dfw-04-07.png

 

そしてインタラクティブ分析を開いてみると・・・

vrli-dfw-04-08.png

 

ESXi から転送されてきた、DFW が PASS を示す実ログ テキストを見ることができます。

通信が通過できているときも、DFW が作用していることが可視化されています。

vrli-dfw-04-09.png

 

DFW ルールのログ出力を停止する。

DFW に追加したルール ID 1094 を「ログに記録しない」に戻して・・・

vrli-dfw-04-10.png

 

「変更の発行」をすると、このルールは有効のまま、ログは ESXi  に出力されなくなります。

そのため vRLI にも、このルールにかかわる pass のログは転送されなくなります。

vrli-dfw-04-11.png

 

vRLI のダッシュボードを見ると、

2度目の「save configuration」があがったタイミング以降、

pass についてのログが出力されなくなった様子がわかります。

※途中で pass ログが途切れているのは、一時的に curl コマンドを止めて再実行したためです。

vrli-dfw-04-12.png

 

このように、vRLI で DFW の作用する様子を見ることができます。

 

つぎは、pass ログに注目してみます。

vRealize Log Insight と NSX DFW で通信の様子を可視化してみる。Part.1