====== Proxmox - firewall ====== ===== conf cluster : /etc/pve/firewall/cluster.fw ===== IP set definitions alias definitions security group definitions cluster wide firewall rule for all nodes ===== conf vm : /etc/pve/firewall/.fw ===== IP set definitions alias definitions firewall rules for this VM VM specific options ===== conf host : /etc/pve/nodes//host.fw ===== This is useful if you want to overwrite rules from cluster.fw config. You can also increase log verbosity, and set netfilter related options zones : host: traffic from/to a cluster node vm: traffic from/to a specific VM ===== Syntaxe ===== #TYPE ACTION [OPTIONS] #TYPE MACRO(ACTION) [OPTIONS] # -i # -source # -dest # -p # -dport # -sport IN SSH(ACCEPT) -i net0 IN SSH(ACCEPT) -i net0 # a comment IN SSH(ACCEPT) -i net0 -source 192.168.2.192 # only allow SSH from 192.168.2.192 IN SSH(ACCEPT) -i net0 -source 10.0.0.1-10.0.0.10 # accept SSH for ip range IN SSH(ACCEPT) -i net0 -source 10.0.0.1,10.0.0.2,10.0.0.3 #accept ssh for ip list IN SSH(ACCEPT) -i net0 -source +mynetgroup # accept ssh for ipset mynetgroup IN SSH(ACCEPT) -i net0 -source myserveralias #accept ssh for alias myserveralias IN SSH(ACCEPT) -i net0 # disabled rule **Security Groups :** Groupe de règles définies au niveau du cluster, applicables pour les VMs **IP aliases :** Donner un petit nom à une IP, pour y référer dans les ipsets et dans source/dest des règles. RQ : ip alias particulier : local_network (ne fonctionne pas bien au niveau des règles de protocole cluster proxmox - BUG) **IP sets :** Groupe d'adresses et de réseaux. On y réfère avec "+nom" en source ou en dest dans une règle. RQ : ipsets particuliers : 'management' , 'blacklist' IP set 'ipfilter' : utilisé pour éviter le spoofing. Ex : /etc/pve/firewall/.fw : [IPSET ipfilter-net0] 192.168.2.10 RQ : ne fait rien - BUG ? **Opérationnel :** pve-firewall start pve-firewall stop pve-firewall status iptables-save RQs : exemple ports dynamiques : ajouter ip_conntrack_ftp à /etc/modules