iT邦幫忙

2021 iThome 鐵人賽

DAY 13
0
IT管理

突破困境:企業開源虛擬化管理平台系列 第 13

Proxmox VE 虛擬機防火牆管理 (一)

https://ithelp.ithome.com.tw/upload/images/20210928/20118848gJIRvvd3IY.png

在網路防護方面,Proxmox VE 提供了相當良好的防火牆管理功能,並且可以適用於節點實體機、客體機,讓客體機內不需要另外再安裝軟體防火牆,對於效能與統一管理大有助益,管理者可以方便的一次管理所有的防火牆規則,降低管理操作負擔。


啟用防火牆功能

啟用資料中心防火牆

請在左方資源檢視區選擇 資料中心,切換至 防火牆 頁籤,點選 選項,查看目前資料中心級的防火牆是否啟用。

https://ithelp.ithome.com.tw/upload/images/20210928/20118848UEywGVc4hp.png
查看資料中心防火牆設定

若清單中的 防火牆 項目設定為 ,請點選兩下後將其勾選,將它啟用。

https://ithelp.ithome.com.tw/upload/images/20210928/20118848BRhgX5CQL2.png
啟用資料中心防火牆設定

啟用完成後,其它項目保持微為預設即可。

 
 

啟用節點防火牆

在資源檢視區中選取節點,以本例為 host-106,切換至 防火牆 頁籤,點選 選項,查看目前節點級的防火牆是否啟用。

https://ithelp.ithome.com.tw/upload/images/20210928/20118848pFBTlwwDg1.png
啟用節點防火牆設定

預設已經啟用,若它呈現為 ,請點選兩下進入將它啟用。

 
 

啟用節點防火牆服務

設定完成以後,還需要確認防火牆服務是否有在運作中。請切換至 系統 頁籤,在右方服務清單中確認 pve-firewall 服務有在執行中 running,若沒有,請按上方按鈕 啟動 將他執行起來。

https://ithelp.ithome.com.tw/upload/images/20210928/20118848C1eBsWjo3M.png
啟用節點防火牆服務

 
 

啟用客體機防火牆

請在左方資源檢視區選取客體機後,切換至 防火牆 頁籤,點選 選項,查看客體機的防火牆是否啟用,若無請點選兩下將它設置為 ,其預設值是

https://ithelp.ithome.com.tw/upload/images/20210928/20118848SFyYk8jiJU.png
啟用客體機防火牆服務

 
 

啟用客體機網路裝置支援防火牆

防火牆相關服務與設定調整完成後,還需要將客體機的網路裝置啟用防火牆支援,才能正確連動。

切換至 硬體 頁籤,點選 網路裝置 (net0) 兩下進入設定視窗:

https://ithelp.ithome.com.tw/upload/images/20210928/20118848loczeh62nU.png
準備設定客體機網路裝置防火牆支援

進入客體機網路裝置設定視窗,確認 防火牆 核取方塊有被勾選,即可按下 完成 按鈕。

https://ithelp.ithome.com.tw/upload/images/20210928/20118848FzAph9kOwV.png
設定客體機網路裝置防火牆支援

若有正確設定,會在硬體清單中的網路裝置項目後有 firewall=1 的字樣,即表示成功。


設定防火牆規則

待防火牆的相關前置作業完成以後,就可以準備進行客體機的防火牆規則設定。在預設的情況下,所有的輸入 (Input) 流量都被阻擋,輸出 (Output) 原則預設放行,稍後的規則設定將以此原則進行建立。

切換至 防火牆,再按下 增加 按鈕,進入新增防火牆規則設定視窗。

https://ithelp.ithome.com.tw/upload/images/20210928/201188489BCO7yAtQd.png
增加客體機防火牆規則設定視窗

 

範例:開啟 SSH 連入規則

若要開放客體機的 SSH 供連入使用,可參考以下配置範例:

https://ithelp.ithome.com.tw/upload/images/20210928/20118848jf4slGTgk9.png
設定防火牆 SSH 連入規則

  • 方向:選擇為 in 表示為輸入。
  • 動作:選擇 ACCEPT 表示允許通過。
  • 介面:若留空表示套用至此客體機的所有網路裝置,要指定客體機的特定網路裝置,可以填入如 net0net1 等。
  • 啟用:勾選即表示讓此規則生效。但建議增加規則時先不要勾選,待存入後回到清單檢視,確認無誤後再勾選啟用比較保險。
  • 巨集:請在下拉清單選取 SSH
  • 來源位址:指定那些來源網路符合 SSH 使用規則,可以使用單一 IP,或者指定網段。留空則表示所有來源位址皆符合規則。
  • 目標位址:指定要連至的目標位址規則,同樣可以使用 IP、網段,或者留空表示所有目標皆符合規則,亦即表示這台客體機擁有的所有 IP。
  • 備註:可以在此輸入說明事項。
  • 記錄層級:設定要寫入至記錄的資訊層級,nolog 表示不做任何記錄,其它有多種類型可以選。如果要啟用,建議可以選擇 err 以避免太多訊息將記錄塞爆。

選項確認無誤後,按下 完成 將規則存入。待回到規則清單後,可以看到多出一筆新的防火牆規則,可以在他前方的核取方塊按一下,將規則切換為啟用。

https://ithelp.ithome.com.tw/upload/images/20210928/20118848Lep2yPYcF7.png
啟用防火牆 SSH 連入規則

 

範例:開啟 SMB 連入規則

若要開放客體機可以使用微軟的檔案共用協定 SMB 供連入使用,可參考以下配置範例:

https://ithelp.ithome.com.tw/upload/images/20210928/20118848UncKVq3kmX.png
設定防火牆 SMB 連入規則

  • 方向:選擇為 in 表示為輸入。
  • 動作:選擇 ACCEPT 表示允許通過。
  • 介面:若留空表示套用至此客體機的所有網路裝置,要指定客體機的特定網路裝置,可以填入如 net0net1 等。
  • 啟用:勾選即表示讓此規則生效。但建議增加規則時先不要勾選,待存入後回到清單檢視,確認無誤後再勾選啟用比較保險。
  • 巨集:請在下拉清單選取 SMB
  • 來源位址:設定僅允許信任的區網網段可以連入,例如 192.168.1.0/24
  • 目標位址:指定要連至的目標位址規則,同樣可以使用 IP、網段,或者留空表示所有目標皆符合規則,亦即表示這台客體機擁有的所有 IP。
  • 備註:可以在此輸入說明事項。
  • 記錄層級:設定要寫入至記錄的資訊層級,nolog 表示不做任何記錄,其它有多種類型可以選。如果要啟用,建議可以選擇 err 以避免太多訊息將記錄塞爆。

選項確認無誤後,按下 完成 將規則存入。待回到規則清單後,可以看到多出一筆新的防火牆規則,可以在他前方的核取方塊按一下,將規則切換為啟用。

https://ithelp.ithome.com.tw/upload/images/20210928/20118848AhoJoqPiHa.png
啟用防火牆 SMB 連入規則

 

範例:開啟 8080 連接埠連入規則

若要開放特定連接埠連入,可參考以下配置範例,重複部份請參考前一小節:

https://ithelp.ithome.com.tw/upload/images/20210928/20118848qgY6hLJNEL.png
設定防火牆 TCP 8080 埠連入規則

  • 協定:請選擇 tcp 協定。
  • 目標連接埠:請輸入 8080 連接埠號。
  • 備註:可以在此輸入說明事項,例如 開放 Web 8080 Port,以便日後參考。

選項確認無誤後,按下 完成 將規則存入。待回到規則清單後,可以看到多出一筆新的防火牆規則,可以在他前方的核取方塊按一下,將規則切換為啟用。

https://ithelp.ithome.com.tw/upload/images/20210928/20118848Eo1lFGZFA4.png
啟用防火牆 TCP 8080 埠連入規則

 

範例:阻擋 UDP 168.95.1.1:53 連接埠連出規則

將方向反過來,若要禁止連往特定 IP 及連接埠,可參考以下配置範例,重複部份請參考前一小節:

https://ithelp.ithome.com.tw/upload/images/20210928/20118848bNUZRdjO8j.png
設定防火牆 UDP 168.95.1.1:53 埠連出規則

  • 協定:請選擇 udp 協定。
  • 目標位址:請輸入 168.95.1.1 IP 位址。
  • 目標連接埠:請輸入 53 連接埠號,這是 DNS 服務使用。
  • 備註:可以在此輸入說明事項,例如 禁止連線至 Hinet DNS 服務,以便日後參考。

選項確認無誤後,按下 完成 將規則存入。待回到規則清單後,可以看到多出一筆新的防火牆規則,可以在他前方的核取方塊按一下,將規則切換為啟用。

https://ithelp.ithome.com.tw/upload/images/20210928/20118848x58sGxLSPA.png
啟用防火牆 UDP 168.95.1.1:53 埠連出規則

 

提醒:
規則將在一分鐘內生效,若設定為丟棄 DROP 或退回 REJECT 動作,原有仍在使用中的連線不會被中斷,會在下次中斷連線後才會被阻擋無法再次連上。

檢視防火牆規則記錄

若防火牆規則有啟用記錄功能,當符合記錄層級的資訊產生時,將會被記錄起來。要檢視相關內容,可以切換至 防火牆 頁籤,點選 記錄,右方即會顯示相關的資訊內容。

下圖是規則設定丟棄 DROP 後被阻擋的連線記錄:

https://ithelp.ithome.com.tw/upload/images/20210928/20118848ca68Tk0nI3.png
檢視防火牆規則記錄

補充:
防火牆記錄檔案內容,位置在 /var/log/pve-firewall.log

上一篇
Proxmox VE 虛擬機 Cloud-Init 應用
下一篇
Proxmox VE 虛擬機防火牆管理 (二)
系列文
突破困境:企業開源虛擬化管理平台30

尚未有邦友留言

立即登入留言