Home

Main Menu


Warning: Parameter 1 to modMainMenuHelper::buildXML() expected to be a reference, value given in /homepages/16/d15835303/htdocs/huegele-de/cms/libraries/joomla/cache/handler/callback.php on line 100

Anmelden



ESX Server 3.x Firewall Administration PDF Drucken E-Mail
Beitragsseiten
ESX Server 3.x Firewall Administration
Kommandozeilen-Administration
Firewall: Grundlegendes
Firewall: Eigene Dienste
Alle Seiten

Firewall anpassen: Grundlegendes

Grundlegender Aufbau:

  • Jede Firewall-Policy besteht aus einer oder mehreren aktivierten "services".
  • Jeder "service" besteht seinerseits aus einer (odere mehreren!) Regeln ("rules") und hat einer eindeutigen Kennung ("<id>" Tag).
  • Eine Regel besteht aus:
    • Richtung des Traffics (inbound/outbound)
    • verwendetes Protokoll (TCP/UDP)
    • Port Typ (Source/Destination)
    • Port Nummer bzw. Port Range
    • (optional) TCP-Flags
  • Alle nicht explizit freigegebenen Services werden geblockt.

 

Die Konfigurationsdateien für die ESX-Firewall, anhand derer die verfügbaren Services/Rules aufgebaut werden, befinden sich unter "/etc/vmware/firewall/":

  • Alle hier abgelegten XML-Files werden geparst.
  • Die Datei "services.xml" mit den ESX-Standard-Services sowie alle bestehenden XML-Files sollten am besten nicht verändert werden.

 

Seit ESX 3.5 gibt es außerdem folgende Änderungen:

  • Es existieren nun standardmässig auch weitere XML-Files für die Hersteller-spezifischen Backup-Agents. Vorher waren diese ebenfalls direkt in der "services.xml" enthalten.
  • Die Services "veritasBackupExec" und "veritasNetBackup" wurden in "symantecBackupExec" und "symantecNetBackup" umbenannt.
  • Neue, vorkonfigurierte Dienste: "caARCserve", "LDAP", "LDAPS", "legatoNetWorker", "updateManager", "VCB"

 

Die Syntax und Struktur der XML-Dateien ist relativ selbsterklärend, wenn man die mitgelieferten XML-Files betrachtet (siehe Beispiele).

 

Folgende Dinge gibt es beim Anlegen einer eigenen XML-Datei allerdings zu beachten:

  • Der Wert der "<id>"-Tags (<id>Service-Name</id>) muss Server-weit eindeutig sein! Mit dieser Kennung werden die Services beim Ausführen der "esxcfg-firewall"-Kommandos angezeigt und referenziert!
  • Falls innerhalb einer XML-Datei mehrere Services definiert werden, müssen diese mit unterschiedlichen ID's versehen werden (<service id='xxxx'>). Wird in einer XML-Datei hingegen lediglich ein Service definiert, ist der id='...' Zusatz im "service"-Tag nicht erforderlich, dann genügt auch ein einfaches "<service>".
  • Analog gilt: Wenn innerhalb eines Services mehrere Rules zusammengefasst sind, müssen die Regeln durch eindeutige "rule id's" im "rule" Tag gekennzeichnet werden (<rule id='yyyy'>). Wenn pro Service jedoch nur eine Regel enthalten ist, ist auch hier der id='...' Zusatz im "rule"-Tag nicht erforderlich, dann genügt auch ein einfaches "<rule>".

Beispiel: Mehrere Services pro XML File:

<ConfigRoot>
  <service id='0000'>
    <id>sshServer</id>
    <rule>
      <direction>inbound</direction>
      <protocol>tcp</protocol>
      <port type='dst'>22</port>
      <flags>-m state --state NEW</flags>
    </rule>
  </service>

  <service id='0001'>
    <id>sshClient</id>
    <rule>
      <direction>outbound</direction>
      <protocol>tcp</protocol>
      <port type='dst'>22</port>
      <flags>-m state --state NEW</flags>
    </rule>
  </service>
</ConfigRoot>


  

Beispiel: Mehrere Rules pro Service mit Port Ranges ("legatoNetworker.xml):

<!-- Firewall configuration information for EMC/Legato Networker -->
<ConfigRoot>
  <service>
    <id>legatoNetWorker</id>
    <rule id='0001'>
      <direction>inbound</direction>
      <protocol>tcp</protocol>
      <port type='dst'>
        <begin>7937</begin>
        <end>9936</end>
      </port>
      <flags>-m state \-\-state NEW</flags>
    </rule>
    <rule id='0002'>
      <direction>outbound</direction>
      <protocol>tcp</protocol>
      <port type='dst'>
        <begin>7937</begin>
        <end>9936</end>

      </port>
      <flags>-m state \-\-state NEW</flags>
    </rule>
  </service>
</ConfigRoot>


 



 
Huegele.de, Powered by Joomla! and designed by SiteGround web hosting