VMware 小技集その2 ~ ESXiホストのファイヤーウォール
こんにちは、エス・ワイ・シーの諏澤です。
ESXiのセキュリティを強化するため、ファイヤーウォールを設定する機会がありましたので、その手順を説明させていただきます。
※設定メモ
Host ClientなどのGUIからも設定可能ですが、コマンドの方が簡単でしたので、コマンドでの手順を記載します。
①sshでESXiホストにログインし、現在のファイヤーウォール設定を確認。
esxcli network firewall ruleset allowedip listデフォルトでは、以下のように全てのIPアドレスからアクセス可能となっています。
Ruleset Allowed IP Addresses
--------------------------- --------------------
sshServer All
sshClient All
~~ 省略 ~~
vsanhealth-unicasttest All
dynamicruleset All②今回は、DNSのファイヤーウォールに対して、特定のセグメントからのみアクセス可能となるように設定。
まず、全てのネットワークからのアクセスを禁止するため、以下のコマンドを実行。
esxcli network firewall ruleset set --allowed-all false --ruleset-id "dns"③許可するセグメントを追加。
esxcli network firewall ruleset allowedip add --ip-address "192.168.0.0/24" --ruleset-id "dns"④①で実行した確認コマンドを実行し、以下のようになっていれば、OKです。
Ruleset Allowed IP Addresses
--------------------------- --------------------
~~ 省略 ~~
DNS 192.168.0.0/24
~~ 省略 ~~
