Инструменты пользователя

Инструменты сайта


doc:sysadmin:vsphere_5:flush_firewall_s_rules_via_esxi_console

Сбрасываем правила межсетевого экрана в ESXi 5.X через консоль ESXi

Условия:

  • Установленный сервер ESXi 5.x на удаленной стороне, к которой вы имеете возможность «подцепиться» через KVM over IP (ну или подойти к консоли физически :))
  • Некорректно настроенные правила файерволла, которые не позволяют вам подключаться к вашему ESXi-хосту через SSH или клиента vSphere (например, вы настроили через Security Profile, что к серверу ESXi можно подключаться только с указанного IP адреса, а впоследствии, у вас сменился IP-адрес и соответственно, у вас нет доступа).

Ссылки:

Решение

  1. Подцепляемся к хосту ESXi по KVM-over-IP
  2. Активируем консоль ESXi shell (делается через конфигурирование Troubleshooting options)
  3. Находясь на консоли ESXi 5, нажимаем Alt+F1, переключаемся в эту самую консоль
  4. Вводим учетную запись root'a
  5. Посмотрим, что у нас есть:
    # esxcli network firewall ruleset list
    Name                Enabled
    ------------------  -------
    sshServer              true
    sshClient              true
    nfsClient             false
    dhcp                   true
    dns                    true
    snmp                  false
    ntpClient             false
    CIMHttpServer          true
    CIMHttpsServer         true
    CIMSLP                false
    iSCSI                 false
    vpxHeartbeats          true
    updateManager         false
    faultTolerance        false
    webAccess             false
    vMotion               false
    vSphereClient          true
    activeDirectoryAll    false
    NFC                   false
    HBR                   false
    ftpClient             false
    httpClient            false
    gdbserver             false
    DVFilter              false
    DHCPv6                 true
    DVSSync               false
    syslog                false
    IKED                  false
    WOL                   false
    vSPC                  false
    remoteSerialPort      false
    vprobeServer          false
  6. к примеру, нам нужно разрешить входящие подключения к хосту ESXi через vSphereClient (имя правила берется из столбца Name, в данном случае это vSphereClient). Выполняем команду:
    esxcli network firewall ruleset set --allowed-all true --ruleset-id=vSphereClient
  7. Если нужно задать правило, что доступ разрешен только с указанной подсети:
    esxcli network firewall ruleset allowedip add --ip-address=172.80.0.0/24 --ruleset-id=vSphereClient
  8. Обновляем правила межсетевого экрана после наших правок:
    esxcli network firewall refresh
  9. Пробуем подключиться через клиента vSphereClient, должен пустить.

TAG:

Обсуждение

Ваш комментарий. Вики-синтаксис разрешён:
 
/var/www/wiki.itcall.ru/data/pages/doc/sysadmin/vsphere_5/flush_firewall_s_rules_via_esxi_console.txt · Последнее изменение: d.m.Y H:i — dbehterev