Table des matières
Proxmox - firewall
conf cluster : /etc/pve/firewall/cluster.fw
IP set definitions alias definitions security group definitions cluster wide firewall rule for all nodes
conf vm : /etc/pve/firewall/<vm>.fw
IP set definitions alias definitions firewall rules for this VM VM specific options
conf host : /etc/pve/nodes/<nodename>/host.fw
This is useful if you want to overwrite rules from cluster.fw config. You can also increase log verbosity, and set netfilter related options
zones : host: traffic from/to a cluster node vm: traffic from/to a specific VM
Syntaxe
#TYPE ACTION [OPTIONS] #TYPE MACRO(ACTION) [OPTIONS] # -i <INTERFACE> # -source <SOURCE> # -dest <DEST> # -p <PROTOCOL> # -dport <DESTINATION_PORT> # -sport <SOURCE_PORT> IN SSH(ACCEPT) -i net0 IN SSH(ACCEPT) -i net0 # a comment IN SSH(ACCEPT) -i net0 -source 192.168.2.192 # only allow SSH from 192.168.2.192 IN SSH(ACCEPT) -i net0 -source 10.0.0.1-10.0.0.10 # accept SSH for ip range IN SSH(ACCEPT) -i net0 -source 10.0.0.1,10.0.0.2,10.0.0.3 #accept ssh for ip list IN SSH(ACCEPT) -i net0 -source +mynetgroup # accept ssh for ipset mynetgroup IN SSH(ACCEPT) -i net0 -source myserveralias #accept ssh for alias myserveralias IN SSH(ACCEPT) -i net0 # disabled rule
Security Groups : Groupe de règles définies au niveau du cluster, applicables pour les VMs
IP aliases : Donner un petit nom à une IP, pour y référer dans les ipsets et dans source/dest des règles. RQ : ip alias particulier : local_network (ne fonctionne pas bien au niveau des règles de protocole cluster proxmox - BUG)
IP sets : Groupe d'adresses et de réseaux. On y réfère avec “+nom” en source ou en dest dans une règle. RQ : ipsets particuliers : 'management' , 'blacklist' IP set 'ipfilter' : utilisé pour éviter le spoofing. Ex : /etc/pve/firewall/<VMID>.fw :
[IPSET ipfilter-net0] 192.168.2.10
RQ : ne fait rien - BUG ?
Opérationnel :
pve-firewall start pve-firewall stop pve-firewall status iptables-save
RQs : exemple ports dynamiques : ajouter ip_conntrack_ftp à /etc/modules