■ESXi 5.5 Firewallの設定
ESXiにはデフォルトでFirewall機能が稼働しており、サービスごとにon/offや特定のIPからのみ可といった設定が可能となっています。設定箇所はvSphere Clientで「構成」-「セキュリティプロファイル」をクリックするとサービス一覧が表示されます。
さらに右上あたりのプロパティ画面をクリックすると各サービスごとのon/offを設定することが可能です。
画面したのファイアウォールボタンをクリックすると特定のIPからのみ受け付けるという設定が可能となります。大半のものは任意のIPアドレスからのアクセスを許可していますが、特定IPに絞りこむことが可能です。また、この設定で許可がされていなければサービスがオープンされていてもアクセスができないということになるので注意が必要です。
基本的にこれらの画面から確認することが可能ですがCLIからも一覧をリスト表示することが可能です。
# esxcli network firewall ruleset list Name Enabled ------------------ ------- sshServer true sshClient false nfsClient true dhcp true dns true snmp true ntpClient false CIMHttpServer true CIMHttpsServer true CIMSLP true iSCSI false vpxHeartbeats true updateManager false faultTolerance true webAccess true vMotion true vSphereClient true activeDirectoryAll false NFC true HBR true ftpClient false httpClient false gdbserver false DVFilter false DHCPv6 false DVSSync true syslog false IKED false WOL true vSPC false remoteSerialPort false vprobeServer false rdt true cmmds true vsanvp true rabbitmqproxy true ipfam true fdm true |
GUI画面からは項目のon/offは可能ですが、項目自体の追加はできないようになっています。項目自体を追加したい場合はCLIから/etc/vmware/firewall/service.xmlファイルを編集します。以下ではSMTPクライアントを許可するよう設定しています。
# cp /etc/vmware/firewall/service.xml /etc/vmware/firewall/service.xml.old # chmod 644 /etc/vmware/firewall/service.xml # chmod +t /etc/vmware/firewall/service.xml # vi /etc/vmware/firewall/service.xml [以下を追加] <service id="0038"> <id>SMTPTCPOut</id> <rule id='0000'> <direction>outbound</direction> <protocol>tcp</protocol> <porttype>dst</porttype> <port>25</port> </rule> <enabled>false</enabled> <required>false</required> </service> |
最後のほうにあるenabledやrequiredに関してはルールセットが適用されたときにサービスが有効または無効のどちらになっているか ( 発信設定なのでfalse ) 、ルールセットが必須か否か、および無効にできないかという意味になります。
編集が完了したらそれを有効にするため以下のコマンドを実行します。
# chmod 444 /etc/vmware/firewall/service.xml # esxcli network firewall refresh # esxcli network firewall ruleset list <省略> SMTPTCPOut false |
GUIの画面からも項目が追加されたことを確認できます。
これでESXiからSMTP発信が可能となります。その他のサービスにおいても必要に応じて同様な手順で追加することが可能となります。