Ingresamos a Centro de datos->Firewall->opciones->Política de Entrada
Y la modificamos por aceptar para que no nos bloquee
Lo primero que vamos hacer es crear «Grupos de seguridad» donde vamos a establecer el primer grupo como una regla explicita para «DENY-ALL» y a partir de ahí crearemos otros habilitando los diferentes puertos permitidos
Para esto ingresamos a «Centro de Datos->firewall->Grupos de Seguridad->Crear»
Con los datos:
Nombre: gs_deny_all
Comentario: GS: Denegar todo
Ahora dentro de las reglas le damos añadir:
Completamos los datos:
Dirección: in
Acción: DROP
Activado: NO
Ahora para permitir la administración de proxmox tanto pos ssh como web lo primero que creamos es un alias para la VLAN UGIT.
Y agregamos los datos de la VLAN SIUA-UGIT
De esta manera nos permite que si se cambia el rango de ip’s de una vlan UGIT solo cambiemos este rango en al alias y no en reglas.
Ahora vamos a crear una nuevo grupo de seguridad que le de accedo al alias «SIUA-UGIT»
Con los datos:
Nombre: gs_vlan_ugit
Comentario: GS:VLAN UGIT
Ahora añadimos la regla:
Ahora para la sincronización del cluster y funcionamiento de proxmox necesitamos tener habilitados los puertos:
Web interface: 8006
VNC Web console: 5900-5999
SPICE proxy: 3128
sshd (used for cluster actions): 22
rpcbind: 111
corosync multicast (if you run a cluster): 5404, 5405 UDP
Primero vamos un alias para la red corosync 10.20.252.0/24
Vamos a crear un nuevo grupo de seguridad
Con los datos:
Nombre: gs_ports_corosync
Comentario:GS: permite comunicación de proxmox
Ahora sobre este grupo creamos las reglas:
Quedando de la siguiente manera
Ahora vamos a crear una Alias para los servidores en la red interna
Creamos un grupo de seguridad para los servidores
Le agregamos una regla aceptando cualquier puerto
Ahora para conectar el freenas1 que contiene las images de discos y solo se debe ser accedido por los miembros del cluster vamos a crear un IPSet
Con los datos
Ingresamos las Ip’s
Quedando así:
Ahora creamos un grupo de seguridad para que hacer que el freenas1 se accepte en el cluster
Con las reglas
Ahora podemos activar el firewall
Primero vamos a agregar los grupos de seguridad anteriormente creados
Agregamos TODAS las reglas para que no se bloquee el Cluster.
Si por alguna razón el cluster se cae, debe ingresa a cada nodo y ejecutar el comando