Proxmox Firewall

~ 0 min
2024-11-04 09:41
0 Kommentare
PDF-Version

Management-Zugriff auf Hosts muß also vor dem Aktivieren der Firewall gewährt werden!
-> Regel im Datacenter: Ingoing, Accept, Interface: LanBridge (vmbr0), TCP, Destination(s)= IPs der Hosts, Ports: 22 (SSH), 8006 (NoVNC), 3128 (Spice)
(wird inzwischen per Default über NonBlockingRules gelöst)

Firewall steht per Default auf:
- In: DROP
- Out: Accept

Sollte man sich vor die Tür setzen:
Host-Shell: nano /etc/pve/firewall/cluster.fw  -> enable: 1  -> auf 0 setzen
Host-Shell: pve-firewall stop

Firewallregeln werden nicht im PBS gesichert.
Unbedingt /etc -Ordner des Hostes sichern!

Firewall aktivieren in:

  • Datacenter (Regeln für Datacenter <-> Hosts))
  • Host (Host-Management, Ping, SMB, kein Effekt auf VM)
  • VM
  • Netzwerkkarte der VM
    Alle Firewalls wirken auch auf die untergeordneten Instanzen.

Security Gruppen für gleichartige VMs im Datacenter anlegen.
Regeln in der Gruppe erstellen.
Insert: Security Group -> Gruppe hinzu fügen.

IPSet - Regeln für Listen von spezielle IPs bzw. IP-Bereichen

Aliases - Regeln für einzelne spezielle IP (Router o.ä.) oder IP-Bereich (LAN..)

Aliases und IPSets können in Firewall-Regeln als Source oder Destination eingesetzt werden.

Beispiele:

  • ICMP IN - von allen Verwaltungs-PC zu gewünschten Hosts und VMs
  • SSH IN, TCP Port 22 - von allen Verwaltungs-PC zu gewünschten Hosts und VMs
  • NoVNC IN, TCP Port 8006 - von allen Verwaltungs-PC zu gewünschten Hosts und VMs
  • NoVNC IN, TCP Port 8007 - von allen Verwaltungs-PC zu Proxmox Backup Server
  • Spice IN, TCP Port 3128 - von allen Verwaltungs-PC zu gewünschten Hosts und VMs
  • RDP IN, TCP Port 3389 - von allen gewünschten PC zu gewünschten VMs
  • SNMP IN, UDP 161 + 162 - vom Monitoring-Server zu allen gewünschten Hosts und VMs

Bsp.: VM darf nur ins Internet, aber nicht zu anderen Geräten im LAN
- Out - Accept - Destination= Gateway
- Out - Reject - Destination= LocalNet

  • Proxmox Backup-Server benötigt nur ACCEPT-IN zwischen PVE-Host und PBS-Server (ggf. NAS)
  • Veeam Backup Server benötigt Zugriff auf alle zu sichernden VMs

PVE Default Rules: https://pve.proxmox.com/wiki/Firewall#pve_firewall_default_rules

Durchschnittliche Bewertung 0 (0 Abstimmungen)

Es ist möglich, diese FAQ zu kommentieren.

Tags

(MS) Office Android Archiv CMS DHCP DisplayPort DVI DvSpam Excel FAT Festplatte FSMO GPO Harddisk Haussteuerung HDMI Heizung IoT IPV6 Mailarchiv Malware Netzwerk NTFS Observium ODBC Office Outlook Passwort PDF php phpmyfaq PLS Proxmox RSS SAN Smarthome Spam Telefon Tobit David Tools Update VoIP Win11 Win2000 Win2003 Win2008 Win2012 Win2016 Win7 Win8