hola me podrian ayudar como puedo editar las reglas de firewalls de un vmware esxi 5, el cliente me esta solicitando que ciertos puertos deban cerrar o que por ejemplo el puerto 903 este en tcp y solo entrante.
gracias por su ayuda
Hola como estas??? me fije en este documento (http://pubs.vmware.com/vsphere-50/topic/com.vmware.ICbase/PDF/vsphere-esxi-vcenter-server-50-securit...) pagina 20 y justamente el puerto que mencionas de ejemplo es solo Entrante
Que otros puertos te estarian pidiendo modificar??
Saludos.
Hola vaysala
dale una mirada a estos links, te copié el ejemplo que citan.
Espero te sirva cualquier duda acá estamos.
Diego Quintana
- Open an SSH connection to the host. For more information, see Using ESXi Shell in ESXi 5.0 (2004746).
- List the firewall rules by running the command:
# esxcli network firewall ruleset list
Name Enabled
-------------- -----------------
sshServer true
sshClient false
nfsClient true
dhcp true
dns true
snmp true
ntpClient false
CIMHttpServer true
CIMHttpsServer true
CIMSLP true
iSCSI true
Note: On the vSphere Client, the DNS service is open on port 53 for UDP only.To enable the DNS service on port 53 for TCP:
- Back up the
/etc/vmware/firewall/service.xml
file by running the command:# cp /etc/vmware/firewall/service.xml /etc/vmware/firewall/service.xml.bak
- Modify the access permissions of the
service.xml
file to allow writes by running thechmod
command:
To allow writes:# chmod 644 /etc/vmware/firewall/service.xml
To toggle the sticky bit flag:# chmod +t /etc/vmware/firewall/service.xml
- Open the
service.xml
file in a text editor.- Add this rule to the
service.xml
file:<service id="0032">
<id>DNSTCPOut</id>
<rule id='0000'>
<direction>outbound</direction>
<protocol>tcp</protocol>
<porttype>dst</porttype>
<port>53</port>
</rule>
<enabled>true</enabled>
<required>false</required>
</service>
Rule set configuration file example:<ConfigRoot>
<service id='0000'>
<id>serviceName</id>
<rule id = '0000'>
<direction>inbound</direction>
<protocol>tcp</protocol>
<porttype>dst</porttype>
<port>80</port>
</rule>
<rule id='0001'>
<direction>inbound</direction>
<protocol>tcp</protocol>
<porttype>src</porttype>
<port>
<begin>1020</begin>
<end>1050</end>
</port>
</rule>
<enabled>true</enabled>
<required>false</required>
</service>
</ConfigRoot>
For more information, see the Rule Set Configuration Files section of the vSphere 5.0 Security Guide.- Revert the access permissions of the
service.xml
file to the read-only default by running the command:# chmod 444 /etc/vmware/firewall/service.xml
- Refresh the firewall rules for the changes to take effect by running the command:
# esxcli network firewall refresh
or# localcli network firewall refresh
Note: This setting does not persist after a reboot. To make it persist, see Changing the port used by SSH on an ESXi 5.0 host (2011818).- List the rules again to confirm by running the command:
# esxcli network firewall ruleset list
Name Enabled
-------------- -----------------
sshServer true
sshClient false
nfsClient true
dhcp true
dns true
snmp true
ntpClient false
CIMHttpServer true
CIMHttpsServer true
CIMSLP true
iSCSI true
DNSTCPOut true
ok la unica forma es editar por consola??? no hay un ambiente grafico para esto???
Hasta donde tengo entendido, no.
http://pubs.vmware.com/vsphere-51/index.jsp?lang=en_US
Diego
Estimados, tengan en cuenta que los cambios personalizados en el firewall del esxi se pierden con cada reinicio.
Deberian realizar un backup del archivo /etc/vmware/firewall/service.xml en una ubicacion persistente y realizar unas modificaciones al archivo
/etc/rc.locald/local.sh para que cada vez que el ESXi inicie vuelva a reconfigurar las reglas personalizadas.
Para ello deberian copiar el archivo del backup a la ubicacion /etc/vmware/firewall/ y refrescar las reglas con
el comando
esxcli network firewall refresh
Les dejo un ejemplo:
cp /vmfs/volumes/DiscoLocalESXi/bkpfiles/service.xml /etc/vmware/firewall
esxcli network firewall refresh
Espero que sea de ayuda...
Saludos,