doc:sysadmin:vsphere_5:flush_firewall_s_rules_via_esxi_console
Сбрасываем правила межсетевого экрана в ESXi 5.X через консоль ESXi
Условия:
- Установленный сервер ESXi 5.x на удаленной стороне, к которой вы имеете возможность «подцепиться» через KVM over IP (ну или подойти к консоли физически :))
- Некорректно настроенные правила файерволла, которые не позволяют вам подключаться к вашему ESXi-хосту через SSH или клиента vSphere (например, вы настроили через Security Profile, что к серверу ESXi можно подключаться только с указанного IP адреса, а впоследствии, у вас сменился IP-адрес и соответственно, у вас нет доступа).
Ссылки:
Решение
- Подцепляемся к хосту ESXi по KVM-over-IP
- Активируем консоль ESXi shell (делается через конфигурирование Troubleshooting options)
- Находясь на консоли ESXi 5, нажимаем Alt+F1, переключаемся в эту самую консоль
- Вводим учетную запись root'a
- Посмотрим, что у нас есть:
# esxcli network firewall ruleset list Name Enabled ------------------ ------- sshServer true sshClient true nfsClient false dhcp true dns true snmp false ntpClient false CIMHttpServer true CIMHttpsServer true CIMSLP false iSCSI false vpxHeartbeats true updateManager false faultTolerance false webAccess false vMotion false vSphereClient true activeDirectoryAll false NFC false HBR false ftpClient false httpClient false gdbserver false DVFilter false DHCPv6 true DVSSync false syslog false IKED false WOL false vSPC false remoteSerialPort false vprobeServer false
- к примеру, нам нужно разрешить входящие подключения к хосту ESXi через vSphereClient (имя правила берется из столбца Name, в данном случае это vSphereClient). Выполняем команду:
esxcli network firewall ruleset set --allowed-all true --ruleset-id=vSphereClient
- Если нужно задать правило, что доступ разрешен только с указанной подсети:
esxcli network firewall ruleset allowedip add --ip-address=172.80.0.0/24 --ruleset-id=vSphereClient
- Обновляем правила межсетевого экрана после наших правок:
esxcli network firewall refresh
- Пробуем подключиться через клиента vSphereClient, должен пустить.
TAG:
/var/www/wiki.itcall.ru/data/pages/doc/sysadmin/vsphere_5/flush_firewall_s_rules_via_esxi_console.txt · Последнее изменение: d.m.Y H:i — dbehterev
Обсуждение