IP set definitions
  alias definitions
  security group definitions
  cluster wide firewall rule for all nodes 

  IP set definitions
  alias definitions
  firewall rules for this VM
  VM specific options 

This is useful if you want to overwrite rules from cluster.fw config. You can also increase log verbosity, and set netfilter related options

zones :
  host: traffic from/to a cluster node
  vm: traffic from/to a specific VM

#TYPE ACTION [OPTIONS]
#TYPE MACRO(ACTION) [OPTIONS]
# -i      <INTERFACE>
# -source <SOURCE>
# -dest   <DEST>
# -p      <PROTOCOL>
# -dport  <DESTINATION_PORT>
# -sport  <SOURCE_PORT>
IN SSH(ACCEPT) -i net0
IN SSH(ACCEPT) -i net0 # a comment
IN SSH(ACCEPT) -i net0 -source 192.168.2.192  # only allow SSH from 192.168.2.192
IN SSH(ACCEPT) -i net0 -source 10.0.0.1-10.0.0.10 # accept SSH for ip range
IN SSH(ACCEPT) -i net0 -source 10.0.0.1,10.0.0.2,10.0.0.3 #accept ssh for ip list
IN SSH(ACCEPT) -i net0 -source +mynetgroup   # accept ssh for ipset mynetgroup
IN SSH(ACCEPT) -i net0 -source myserveralias   #accept ssh for alias myserveralias
IN SSH(ACCEPT) -i net0 # disabled rule

Security Groups : Groupe de règles définies au niveau du cluster, applicables pour les VMs

IP aliases : Donner un petit nom à une IP, pour y référer dans les ipsets et dans source/dest des règles. RQ : ip alias particulier : local_network (ne fonctionne pas bien au niveau des règles de protocole cluster proxmox - BUG)

IP sets : Groupe d'adresses et de réseaux. On y réfère avec “+nom” en source ou en dest dans une règle. RQ : ipsets particuliers : 'management' , 'blacklist' IP set 'ipfilter' : utilisé pour éviter le spoofing. Ex : /etc/pve/firewall/<VMID>.fw :

[IPSET ipfilter-net0]
192.168.2.10

RQ : ne fait rien - BUG ?

Opérationnel :

pve-firewall start
pve-firewall stop
pve-firewall status
iptables-save

RQs : exemple ports dynamiques : ajouter ip_conntrack_ftp à /etc/modules