IP set definitions alias definitions security group definitions cluster wide firewall rule for all nodes
IP set definitions alias definitions firewall rules for this VM VM specific options
This is useful if you want to overwrite rules from cluster.fw config. You can also increase log verbosity, and set netfilter related options
zones : host: traffic from/to a cluster node vm: traffic from/to a specific VM
#TYPE ACTION [OPTIONS] #TYPE MACRO(ACTION) [OPTIONS] # -i <INTERFACE> # -source <SOURCE> # -dest <DEST> # -p <PROTOCOL> # -dport <DESTINATION_PORT> # -sport <SOURCE_PORT> IN SSH(ACCEPT) -i net0 IN SSH(ACCEPT) -i net0 # a comment IN SSH(ACCEPT) -i net0 -source 192.168.2.192 # only allow SSH from 192.168.2.192 IN SSH(ACCEPT) -i net0 -source 10.0.0.1-10.0.0.10 # accept SSH for ip range IN SSH(ACCEPT) -i net0 -source 10.0.0.1,10.0.0.2,10.0.0.3 #accept ssh for ip list IN SSH(ACCEPT) -i net0 -source +mynetgroup # accept ssh for ipset mynetgroup IN SSH(ACCEPT) -i net0 -source myserveralias #accept ssh for alias myserveralias IN SSH(ACCEPT) -i net0 # disabled rule
Security Groups : Groupe de règles définies au niveau du cluster, applicables pour les VMs
IP aliases : Donner un petit nom à une IP, pour y référer dans les ipsets et dans source/dest des règles. RQ : ip alias particulier : local_network (ne fonctionne pas bien au niveau des règles de protocole cluster proxmox - BUG)
IP sets : Groupe d'adresses et de réseaux. On y réfère avec “+nom” en source ou en dest dans une règle. RQ : ipsets particuliers : 'management' , 'blacklist' IP set 'ipfilter' : utilisé pour éviter le spoofing. Ex : /etc/pve/firewall/<VMID>.fw :
[IPSET ipfilter-net0] 192.168.2.10
RQ : ne fait rien - BUG ?
Opérationnel :
pve-firewall start pve-firewall stop pve-firewall status iptables-save
RQs : exemple ports dynamiques : ajouter ip_conntrack_ftp à /etc/modules