Chinaunix首页 | 论坛 | 博客

云杉实验室UC联络站egoo.blog.chinaunix.net

首页 |  博文目录 |  关于我

云杉上的蝴蝶

  • 博客访问: 1143340
  • 博文数量: 286
  • 博客积分: 3124
  • 博客等级: 中校
  • 技术积分: 5186
  • 用 户 组: 普通用户
  • 注册时间: 2008-10-24 23:42
个人简介

Bomi

文章分类

全部博文(286)

文章存档

2015年(1)

2013年(1)

2012年(281)

2008年(3)

我的朋友
最近访客
推荐博文
相关博文
ESX 3防火墙规则分析与修改

分类: 虚拟化

2012-02-05 11:58:53

大家在使用ESX 3的时候很多时候都会碰到内置的防火墙会关闭掉很多端口,于是外面不能访问console,console也不能访问外面的情况。但是在vc中配置防火墙只能配置预设的端口开关。一般大家选择的方式就是关闭其内置的防火墙,这样给console带来了很大的危险,容易出现console被黑的情况。

1、vmware防火墙核心
vmware的console就是一个linux,其使用的防火墙就是linux默认的iptables,如果大家对linux比较熟悉也可以不用vmware自带的防火墙而改用自己熟悉的脚本。vmware的防火墙脚本是/etc/init.d/firewall,在系统启动的时候调用firewall start,可以使用firewall stop关闭防火墙。

2、vmware防火墙脚本分析
/etc/init.d/firewall脚本是一个标准的linux启动脚本,其参数有start,stop,status,restart几个。利用文本编辑器可以看到其内部脚本是这样的
case "$1" in
   start)
        action "Starting firewall" /usr/sbin/esxcfg-firewall -l
        ;;
   stop)
        action "Stopping firewall" /usr/sbin/esxcfg-firewall -u
        ;;
   status)
        /usr/sbin/esxcfg-firewall -q
        ;;
   restart)
        "$0" stop && "$0" start
        ;;
   *)
        echo "Usage: `basename "$0"` {start|stop|status|restart}"
        exit 1
esac
可以看出,其使用的核心是/usr/sbin/esxcfg-firewall,我们使用file命令可以看到这个命令也是一个脚本
[root@vmsrv7 firewall]# file /usr/sbin/esxcfg-firewall 
/usr/sbin/esxcfg-firewall: a /usr/bin/perl -w script. text executable
如果大家熟悉perl脚本就可以读这个程序了。这里不再详细分析此脚本,只要注意到脚本中有一个my $serviceCfgDir="/etc/vmware/firewall/";
从脚本中可以看出,防火墙的配置文件放在/etc/vmware/firewall 下面。
到firewall下面可以看到有一个services.xml,这个就是vmware的防火墙配置文件了。
分析这个标准的xml文件可以看出,每一个规则是一个service,一个service就是这样的一个xml段
    sshServer
   
      inbound
      tcp
      22
      -m state --state NEW
   
  
这个xml段中id是标示service的,不能重复,其中sshServer就是在vc中看到的名字,rule中就是规则了。
direction中是出(outbound)或者入(inbound)的标示,protocol是表明tcp还是udp,port是目的端口(dst)(原端口用的比较少)。flags是其他一些iptables中选项。

3、改造和添加自己的规则
知道了vmware防火墙规则是如何定义的,我们就可以自己改造规则和添加新规则了。
比如我们希望能够改造ssh的端口为非标准的22端口,改为220端口,只要在上面的sshServer中修改22为220即可,改造完成的sshServer就是这个样子的
    sshServer
   
      inbound
      tcp
      220
      -m state --state NEW
   
  
当然我们也可以自己来添加新的规则,比如我们自己添加一个可以把主机的日志发送到日志机的规则。在这个规则中首先是要分析协议,syslog的协议是udp,出方向,目的端口是514,于是我们在service.xml中添加如下几行:

    syslogClient
   
      outbound
      udp
      514
   
  
即可。添加的时候注意中的id不能和原有的id重复。
添加完成后执行/etc/init.d/firewall restart就可以把规则生效了。

4、修改、添加规则之后的处理
修改、添加这时候我们去vc中看,你会发现刚才修改的内容在vc中没有反应。这时候就需要在console中重启相关的控制进程,执行/etc/init.d/mgmt-vmwarerestart,这个操作不影响现有运行的vm,这时候就会发现sshServer的端口已经变成220了,但是可能会发现刚才加的syslog的规则没有出现。这时候就要修改/etc/vmware/esx.conf中的东西了。这个修改一定要注意,否则可能出现严重问题。在这个文件中可以找到/firewall/services/sshClient ="1"字样,在下面手工添加一行/firewall/services/syslogClient ="1",之后执行/etc/init.d/mgmt-vmwarerestart,再次刷新vc就可以看到你添加的syslog的规则了。还算是比较容易吧!
好了,其他的部分留给大家了,大家可以自行仔细研究vmware的防火墙脚本,可以发现更多的东西。
阅读(900) | 评论(0) | 转发(0) |
0

上一篇:微软SCVMM2008中文帮助文档

下一篇:ESX 磁盘备份工具 vmfs-undelete 的使用方法

给主人留下些什么吧!~~
关于我们 | 关于IT168 | 联系方式 | 广告合作 | 法律声明 | 免费注册

Copyright 2001-2010 ChinaUnix.net All Rights Reserved 北京皓辰网域网络信息技术有限公司. 版权所有

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6