Home

Main Menu


Warning: Parameter 1 to modMainMenuHelper::buildXML() expected to be a reference, value given in /homepages/16/d15835303/htdocs/huegele-de/cms/libraries/joomla/cache/handler/callback.php on line 100

Anmelden



ESX Server 3.x Firewall Administration PDF Drucken E-Mail
Beitragsseiten
ESX Server 3.x Firewall Administration
Kommandozeilen-Administration
Firewall: Grundlegendes
Firewall: Eigene Dienste
Alle Seiten

Firewall anpassen: Eigene Dienste definieren

Es gibt zwei grundlegende Möglichkeiten, wie man der ESX-Firewall eigene Dienste hinzufügen kann.

  1. Man legt ein eigenes, neue XML-File mit der Dienste-Konfiguration an bzw. ändert eine der bestehenden XML-Dateien.
  2. Mit Hilfe des "esxcfg-firewall" Kommandos kann die Konfiguration auch direkt vorgenommen werden:

esxcfg-firewall --openPort <port,Protocol,Direction,name>
esxcfg-firewall --closePort <port,Protocol,Direction>

 

Ich persönlich empfehle aus folgenden Gründen jedoch Variante Nr. 1:

  • Das einmal angelegte XML-File durch einfaches Kopieren auf mehrere ESX-Server verteilt und dort verwendet werden kann.
  • Das Aktivieren/Deaktivieren eines Dienstes kann über die gleichen Wege erfolgen wie für alle Standard-Dienste auch!

 

Empfehlungen:

  • Um neue, noch nicht vorkonfigurierte Services einzupflegen, am besten eine separate Datei "services-custom.xml" anzulegen. Damit ist eine saubere Trennung zwischen Default-Services und selbst hinzugefügten Diensten möglich. Außerdem beugt man dem Fall vor, dass die "services.xml" z.B. durch einen ESX-Patch überschrieben wird.
  • Außerdem könnte es sinnvoll sein, die selbst eingepflegen Dienste mit einem Namens-Suffix zu versehen, z.B. mit einem einfach Underscore: "_<servicename>". Damit können Sie auch beim Ausführen von "esxcfg-firewall" Kommandos "Ihre" Dienste sofort erkennen, ohne die XML-Files betrachten zu müssen.

Achtung: Wenn ein bereits vorhandener Service in der „services-custom.xml“ geändert werden soll, sollte er unbedingt vorher per "esxcfg-firewall –d <service>" aus dem Regelsatz herausgenommen werden! Danach erst die Änderungen an der XML-Datei vornehmen und dann den Service mit "esxcfg-firewall –e <service>" wieder aktivieren! Andernfalls kann es passieren, dass im Regelsatz Leichen zurückbleiben (z.B. wenn Regeln/Ports innerhalb eines Service entfernt werden, die vorher enthalten waren!)

 

Beispiel: "services-custom.xml"

In der nachfolgenden Datei sind beispielsweise die Dienste für ausgehenden Syslog (udp/514) und SMTP (tcp/25) Traffic definiert:

<ConfigRoot>
 <!-- Outgoing SMTP -->
 <service id='0200'>
    <id>_smtp</id>
    <rule>
      <direction>outbound</direction>
      <protocol>tcp</protocol>
      <port type='dst'>25</port>
    </rule>
  </service>   
 
 <!-- Outgoing Syslog -->
 <service id='0201>
    <id>_syslog</id>
    <rule>
      <direction>outbound</direction>
      <protocol>udp</protocol>
      <port type='dst'>514</port>
    </rule>
  </service>  
</ConfigRoot>

 

Wichtig: Durch das Hinzufügen der XML-Datei sind die neuen Dienste zwar definiert, aber noch nicht aktiv! Um die neu angelegten Dienste verwenden zu können, müssen Sie zur aktiven Firewall-Policy hinzugefügt werden. Hierzu einfach wie oben beschrieben das "esxcfg-firewall"-Kommando verwenden: "esxcfg-firewall -e _smtp" bzw. "esxcfg-firewall -e _syslog".

 

Weitere Informationen zur ESX Service Console Firewall finden Sie in den jeweiligen "Server Configuration Guides" in der offiziellen VMware-Dokumentation!

 



 
Huegele.de, Powered by Joomla! and designed by SiteGround web hosting