9 Replies Latest reply on Jul 8, 2014 10:45 PM by kosuke75

    ESXi5.5ホストのファイアウォールを起動時に無効にする方法について

    kosuke75 Novice

      お世話になります。

       

      ESXi5.5ホストのファイアウォールを無効にしたまま、ホストを起動する方法を教えてください。

       

      起動後であれば、SSHでホストに接続後、下記コマンドを実行しファイアウォールを無効化できることは分かりました。

      (実行コマンド)

        

       esxcli network firewall set --enabled false

       esxcli network firewall unload

       

      しかしながら、上記コマンドでファイアウォールを無効化しても、ESXiホストを再起動すると、再度ファイアウォールが

      有効となった状態でホストが起動します。

       

      これを常時ESXiホストのファイアウォールが無効化された状態で起動できるように変更したいのですが、

      可能か否かも含めて分らないので、それも含め分る方がいれば教えてください。

       

      よろしくお願い致します。

        • 1. Re: ESXi5.5ホストのファイアウォールを起動時に無効にする方法について
          gowatana Master
          User ModeratorsvExpert

          こんばんは。

           

          下記のように試したところ、ESXiのファイアウォールは

          ESXiの再起動後も無効になっていそうです。

          ~ # vmware -vl

          VMware ESXi 5.5.0 build-1623387

          VMware ESXi 5.5.0 Update 1

          ~ # esxcli network firewall get

             Default Action: DROP

             Enabled: true  ★はじめは有効

             Loaded: true

          ~ # esxcli network firewall set --enabled=false

          ~ # esxcli network firewall unload

          ~ # esxcli network firewall get

             Default Action: PASS

             Enabled: false

             Loaded: false

           

          ★ここでESXiを再起動

          ちなみに、DCUI から F12キー → F11キー

          で再起動しました。

           

          ★確認

          ~ # esxcli network firewall get

             Default Action: DROP

             Enabled: false ★無効のまま

             Loaded: true

           

          実際に、ファイアウォールは無効になっている様子です。

           

          以上です。いかがでしょうか。

          • 2. Re: ESXi5.5ホストのファイアウォールを起動時に無効にする方法について
            myamamoto Expert

            こんにちは。

             

            もしかして、ハイパバイザーのインストール先はローカルディスクではなくSDやUSBメモリだったりしませんか?

            ローカルのストレージの場合はgowatanaさんの書いていらっしゃる手順で大丈夫だと思います。

            SDやUSBメモリ(フラッシュストレージ)の場合、設定変更は基本的にクラッチパーティションに書かれるので再起動後に設定が消えるような動作をします。

            ファイアウォールを無効にしたい運用背景がわからないのですが(セキュリティホールでしかありませんし。。。)もしかしたら、このスクラッチパーティションに書かれる「変更できない設定」なのでは無いかなと思います。

            1 person found this helpful
            • 3. Re: ESXi5.5ホストのファイアウォールを起動時に無効にする方法について
              kosuke75 Novice

              早々に返信いただきありがとうございます。

               

              ただ今すぐ確認できないので、月曜日にこちらでの動作を確認したいと思います。

              • 4. Re: ESXi5.5ホストのファイアウォールを起動時に無効にする方法について
                kosuke75 Novice

                ハイパーバイザーのインストール先は、ローカルHDDとなります。

                 

                また、ファイアウォールを無効化したい理由は、仮想ゲスト上で稼働するアプリに影響を与えている可能性があるため、

                その切り分けとして設定したいという意図になります。

                 

                一つ忘れていたのですが、現在使用しているESXi5.5は無償ライセンスなのですが、

                それが影響してファイアウォールが無効化できないといったことはありますでしょうか。

                • 5. Re: ESXi5.5ホストのファイアウォールを起動時に無効にする方法について
                  gowatana Master
                  User ModeratorsvExpert

                  こんばんは。

                   

                  ためしに、無償版ライセンスを適用した ESXi 5.5 でも設定してみましたが、

                  同様にESXi ファイアウォールを無効にできました。

                   

                  ちなみに、ここで無効化している ESXi Firewall は、

                  ESXi自身だけ(VMkernel ポートだけ)に作用します。

                  そのため、もしVM(ゲストOS)がうまく通信できないのであれば、

                  ESXiのファイアウォールよりも、

                  • 仮想スイッチやポートグループの設定
                  • VMの仮想ネットワークアダプタの設定(割り当てているポートグループが正しいか)
                  • ゲストOS(WindowsやLinux)のネットワーク設定
                  • ゲストOSのファイアウォール設定(Windowsファイアウォールやiptables)

                  のあたりを確認してみると良いと思いました。

                   

                  以上です。ご参考まで・・・

                  • 6. Re: ESXi5.5ホストのファイアウォールを起動時に無効にする方法について
                    myamamoto Expert

                    こんにちは

                     

                    gowatana さんも書いていらっしゃるように、ESXiホストのFirewallはゲストマシンの通信には全く関係ありません。

                    仮想スイッチのManagement Network (VMKernel Port の一種)ではあるのですが...

                    仮想マシンと外のネットワークが同じIPアドレス体系なのにうまく通信できないということであれば、仮想スイッチのポートグループの設定の「無差別モード(promiscuous mode)」あたりが怪しいと思います。

                     

                    仮想マシンの通信が、どういうステータスなのかわかりませんが、無事通信できるとよいですね。

                    • 7. Re: ESXi5.5ホストのファイアウォールを起動時に無効にする方法について
                      kosuke75 Novice

                      返信遅くなりまして申し訳ありません。

                       

                      こちらの環境でも、ファイアウォールが無効化された状態で起動することを確認できました。

                       

                      ただ一つ気になるのは、vSphere Clientにおいて、「構成」→「セキュリティプロファイル」を開くと、ファイアウォールの処に現在の設定内容が表示される点です。

                       

                      これは、ファイアウォール自体は無効化できていても、設定自体は読み込まれている(esxcli network firewall getの実行結果にLoaded: trueと表示されているため)せいであると思います。

                       

                      上記も含めて、起動時に無効できればベストなのですが、そこまではさすがに無理でしょうか。

                      • 8. Re: ESXi5.5ホストのファイアウォールを起動時に無効にする方法について
                        kosuke75 Novice

                        結局、仮想ゲストのアプリの動作はSQL Serverの設定にあったようで、ESX Firewallは無実でした。

                        当たり前といえば当たり前の話ですね。

                        • 9. Re: ESXi5.5ホストのファイアウォールを起動時に無効にする方法について
                          kosuke75 Novice

                          返信ありがとうございます。

                           

                          デフォルトでは、無差別モード=拒否だと思います。

                          この設定の場合、仮想ゲストの通信にどんな影響を与える可能性があるのでしょうか。

                           

                          障害切り分けの観点からすると、ここを「承諾」に変更して、動作が改善されるか確認するといったところでしょうか。