In diesem Tutorial erfahren wir, wie man die in Proxmox integrierte Firewall-Funktion nutzt, um virtuelle Maschinen zu sichern und den Netzwerkverkehr zu verwalten.
Inhaltsverzeichnis
Einführung in die Firewall in Proxmox
Proxmox ermöglicht die Verwaltung einer Firewall auf Hypervisor-Ebene, mit der der Netzwerkverkehr auf folgenden Ebenen verwaltet werden kann:
- des Rechenzentrums
- Proxmox-Servern
- Virtuellen Maschinen und Containern (LXD)
Diese Konfiguration kann auf drei verschiedenen Ebenen vorgenommen werden:
- Rechenzentrum
- Server
- VMs und Container
In diesem Tutorial werde ich mich hauptsächlich auf die Ebene der VMs und Container konzentrieren.
LinuxDer Vorteil der Verwaltung der Firewall auf Hypervisor-Ebene besteht darin, dass alle Änderungen an den Firewall-Einstellungen auf Windows- oder .NET-Ebene unwirksam werden.
Konfiguration der Firewall in Proxmox
Bei der Installation eines Proxmox-Servers ist die Firewall standardmäßig nicht aktiviert; wir werden sie zunächst aktivieren.
In Proxmox finden wir auf Datacenter-Ebene die Konfiguration und die globalen Optionen.
Wenn man zu den Optionen wechselt, sieht man, dass die Firewall nicht aktiviert ist.
Da sich der Zugriff auf die Proxmox-Verwaltungsoberfläche in meinem Fall in einem separaten VLAN mit einer physischen Firewall befindet, werde ich die Regel für den eingehenden Datenverkehr ändern, um standardmäßig den gesamten Datenverkehr zuzulassen. Falls Sie diese Änderung am Ende des Tutorials nicht vornehmen möchten, gebe ich Ihnen die Ports an, die für die Proxmox-Hosts konfiguriert werden müssen.
Wählen Sie „Input Policy“ 1 und klicken Sie auf „Edit“ 2.
Wählen Sie „ACCEPT“ 1 und klicken Sie auf „OK“ 2.
Der gesamte eingehende Datenverkehr ist nun zugelassen.
Da nun keine Gefahr mehr besteht, sich am Server die Hand abzuschneiden, aktivieren wir die Firewall: Wählen Sie „Firewall“ 1 und klicken Sie auf die Schaltfläche „Edit“ 2.
Aktivieren Sie das Kontrollkästchen 1, um die Firewall zu aktivieren, und klicken Sie auf OK 2.
Die Firewall ist auf Datacenter-Ebene aktiviert.
Bevor wir fortfahren, überprüfen Sie auf einem Server, ob die Firewall aktiviert ist (standardmäßig ist sie aktiviert).
Wir sind bereit, die Firewall auf den virtuellen Maschinen zu nutzen.
Firewall auf einer virtuellen Maschine aktivieren und konfigurieren
Wir werden nun sehen, wie man die Firewall auf einer virtuellen Maschine in Proxmox konfiguriert und aktiviert.
Zur Veranschaulichung dieses Tutorials werden wir den SSH-Zugriff auf eine virtuelle Maschine mit der Proxmox-Firewall aktivieren.
Wie man sieht, ist die Firewall standardmäßig nicht aktiviert.
Bevor Sie die Firewall aktivieren, müssen Sie überprüfen, ob die Netzwerkkarte über die Option „Aktivieren“ verfügt; die Option „Firewall“ muss auf 1 gesetzt sein.
Ist dies nicht der Fall, muss das Kontrollkästchen „Firewall“ in den Netzwerkkarteneinstellungen aktiviert werden.
Gehen Sie in den Optionen der VM auf „Firewall / Options“, wählen Sie „Firewall 1“ aus und klicken Sie auf „Edit 2“.
Aktivieren Sie das Kontrollkästchen 1 und klicken Sie auf „OK“ 2.
Die Firewall ist nun aktiviert und wie man sieht, wird der eingehende Datenverkehr standardmäßig abgelehnt.
Um die Funktion zu testen, versuche ich, mich per SSH mit der virtuellen Maschine zu verbinden. Die Verbindung wird nicht hergestellt und es erscheint eine Zeitüberschreitungsfehlermeldung – die Firewall hat ihre Aufgabe erfüllt.
Wir erstellen nun eine Regel in der Firewall der virtuellen Maschine, um SSH-Verbindungen (22) zuzulassen.
Gehen Sie auf der virtuellen Maschine zu „Firewall“ 1 und klicken Sie auf „Add“ 2.
Konfigurieren Sie eine Regel, um eingehenden Datenverkehr auf Port 22 zuzulassen 1, und klicken Sie auf „Add“ 2.
Für das Tutorial habe ich die Protokollierung für die Regel aktiviert.
Die Regel wurde für die virtuelle Maschine hinzugefügt.
Jetzt kann ich mich per SSH mit der virtuellen Maschine verbinden.
Im Bereich „Log“ der Firewall ist die Verbindung zu finden.
Sie wissen nun, wie Sie eine Firewall-Regel für eine virtuelle Maschine erstellen.
Eine Regelvorlage erstellen
Wir werden sehen, wie man dies für eine virtuelle Maschine macht. Es ist möglich, die Verwaltung der Regeln zu optimieren, indem man eine Vorlage erstellt und diese dann auf eine Maschine anwendet.
Diese Verwaltung erfolgt auf Datacenter-Ebene.
Zunächst speichern wir den Netzwerkbereich, den wir zulassen möchten. Gehen Sie im Datacenter zu Firewall / Alias 1 und klicken Sie auf Add 2.
Benennen Sie den Alias 1, geben Sie die IP-Adresse oder den CIDR 2 ein und klicken Sie auf „Add“ 3.
Der Alias ist erstellt.
Gehen Sie zu „Security Group“ 1 und klicken Sie auf „Create“ 2.
Benennen Sie die Gruppe 1 und klicken Sie auf die Schaltfläche „Create“ 2.
Wir fügen nun dieser Gruppe eine Regel hinzu, klicken Sie auf die Schaltfläche „Add“ 1.
Konfigurieren Sie die Regel 1, um SSH-Verbindungen zuzulassen, indem Sie den Alias im Feld „Source“ auswählen und dann auf „Add“ 2 klicken, um die Regel zu erstellen und der Gruppe hinzuzufügen.
Die Regel wird der Gruppe hinzugefügt.
Um eine Regel auf der Ebene der Firewall einer VM hinzuzufügen, klicken Sie auf „Insert: Security Group“ 1.
Wählen Sie die Gruppe 1 aus und klicken Sie auf „Add“ 2.
Die Regelgruppe wird hinzugefügt.
Ergänzungen
Ports für Proxmox-Server
| Beschreibung | Protokoll | Ports |
|---|---|---|
| Web-Schnittstelle | TCP | 8006 |
| VNC-Webkonsole | TCP, WebSocket | 5900–5999 |
| SPICE-Proxy | TCP | 3128 |
| sshd | TCP | 22 |
| rpcbind | UDP | 111 |
| Corosync-Cluster-Verkehr | UDP | 5405–5412 |
| Live-Migration | TCP | 60000 – 60050 |
Deaktivieren der Firewall über die Konfigurationsdatei
Im Falle eines Konfigurationsfehlers oder wenn Sie den Zugriff auf den Server verloren haben, können Sie die Firewall über die folgende Datei deaktivieren:/etc/pve/firewall/cluster.fw indem Sie den Wert von „enable“ von 1 auf 0 ändern.
Sie wissen nun, wie Sie die Proxmox-Firewall nutzen, um den Datenverkehr der virtuellen Maschinen zu sichern.
