PROXMOX 5: Configuración Firewall

Configuración fe firewall proxmox
pve-firewall stop
  • Disabled fiewall
pve-firewall stop
chmod u+w /etc/pve/firewall/cluster.fw
nano /etc/pve/firewall/cluster.fw

cambiar:
enabled:1
X
enabled:0


pve-firewall start
  • Ingresamos a Centro de datos->Firewall->opciones->Política de Entrada
  • Y la modificamos por aceptar para que no nos bloquee
  • Lo primero que vamos hacer es crear «Grupos de seguridad» donde vamos a establecer el primer grupo como una regla explicita para «DENY-ALL» y a partir de ahí crearemos otros habilitando los diferentes puertos permitidos
  • Para esto ingresamos a «Centro de Datos->firewall->Grupos de Seguridad->Crear»
  • Con los datos:
    • Nombre: gs_deny_all
    • Comentario: GS: Denegar todo
  • Ahora dentro de las reglas le damos añadir:
  • Completamos los datos:
    • Dirección: in
    • Acción: DROP
    • Activado: NO
  • Ahora para permitir la administración de proxmox tanto pos ssh como web lo primero que creamos es un alias para la VLAN UGIT.
  • Y agregamos los datos de la VLAN SIUA-UGIT
  • De esta manera nos permite que si se cambia el rango de ip’s de una vlan UGIT solo cambiemos este rango en al alias y no en reglas.
  • Ahora vamos a crear una nuevo grupo de seguridad que le de accedo al alias «SIUA-UGIT»
  • Con los datos:
    • Nombre: gs_vlan_ugit
    • Comentario: GS:VLAN UGIT
  • Ahora añadimos la regla:
  • Ahora para la sincronización del cluster y funcionamiento de proxmox necesitamos tener habilitados los puertos:
Web interface: 8006
VNC Web console: 5900-5999
SPICE proxy: 3128
sshd (used for cluster actions): 22
rpcbind: 111
corosync multicast (if you run a cluster): 5404, 5405 UDP
  • Primero vamos un alias para la red corosync 10.20.252.0/24
  • Vamos a crear un nuevo grupo de seguridad
  • Con los datos:
    • Nombre: gs_ports_corosync
    • Comentario:GS: permite comunicación de proxmox
  • Ahora sobre este grupo creamos las reglas:
  • Quedando de la siguiente manera
  • Ahora vamos a crear una Alias para los servidores en la red interna
  • Creamos un grupo de seguridad para los servidores
  • Le agregamos una regla aceptando cualquier puerto
  • Ahora para conectar el freenas1 que contiene las images de discos y solo se debe ser accedido por los miembros del cluster vamos a crear un IPSet
  • Con los datos
  • Ingresamos las Ip’s
  • Quedando así:
  • Ahora creamos un grupo de seguridad para que hacer que el freenas1 se accepte en el cluster
  • Con las reglas
  • Ahora podemos activar el firewall
  • Primero vamos a agregar los grupos de seguridad anteriormente creados
  • Agregamos TODAS las reglas para que no se bloquee el Cluster.
  • Si por alguna razón el cluster se cae, debe ingresa a cada nodo y ejecutar el comando
pve-firewall stop
o
/etc/init.d/pve-firewall stop
  • Habilitamos el firewall a «Sí»
  • Ahora habilitamos la regla de Entrada «DROP»