Фаервол.

В Service Console ESX имеется файрвол. Основан на iptables из Linux.

Управляется с помощью esxcfg-firewall.
Почему ей, потому что она правильным образом добавляет конфиги в esx.conf, в секцию /firewall
логи пишутся в /var/log/vmware/esxcfg-firewall.log
сервисы для файрвола описываются в
/etc/services
- тут описывает какие порты использует служба, и в дальнейшем можем давать не давать доступ уже этой службе по ее имени.
еще есть /etc/vmware/firewall/services.xml - хз что там, но какое то отношение имеет.

Кроме стандартных цепочек правил INPUT, OUTPUT, FORWARD есть 6 дополнительных:
  • Input - все пакеты приходящие на SC
  • Output - уходящие с SC
  • Forward - пересылаемые с интерфейса на интерфейс, в ESX не используется, SC не роутер.
  • icmp-in \ icmp-out - входящие выходящие icmp пакеты
  • log-and-drop - SC смотрит "particular combination of flag in packet", заносит в лог и дропает, если покажутся подозрительными
  • valid-source-address - ищет действительный адрес истночника для TCP соединений
  • valid-source-address-udp - ищет действительный адрес истночника для UDP соединений
  • valid-tcp-flags - ищет корректные TCP flags
Comments