En este tutorial, veremos cómo utilizar la función de firewall integrada en Proxmox para proteger las máquinas virtuales y gestionar el tráfico de red.
Tabla de contenido
Presentación del firewall en Proxmox
Proxmox permite administrar un firewall a nivel de hipervisor, lo que permite administrar el tráfico de red en los siguientes niveles:
- Desde el centro de datos
- Servidores Proxmox
- Máquinas virtuales y contenedores (LXD)
Esta configuración se puede realizar en 3 niveles diferentes:
- centro de datos
- Servidores
- VM y TC
En este tutorial, me centraré principalmente en el desarrollo a nivel de máquina virtual (VM) y de contenedor (CT).
La ventaja de gestionar el cortafuegos a nivel del hipervisor es que invalida cualquier modificación de las opciones del cortafuegos a nivel de Windows o del sistema. Linux.
Configuración del firewall en Proxmox
Al instalar un servidor Proxmox, el firewall no está habilitado por defecto; comenzaremos por habilitarlo.
En Proxmox, a nivel de centro de datos, encontrará la configuración y las opciones globales.
Al acceder a las Opciones, podemos ver que el cortafuegos no está activado.
Dado que mi interfaz de administración de Proxmox se accede a través de una VLAN independiente con un firewall físico, voy a modificar la regla de tráfico entrante para permitir todo el tráfico por defecto. Si no desea realizar este cambio, le proporcionaré los puertos que debe configurar para sus hosts de Proxmox al final del tutorial.
Seleccione la Política de entrada 1 y haga clic en Editar 2.
Seleccione ACEPTAR 1 y haga clic en Aceptar 2.
Se permite todo el tráfico entrante.
Ahora que ya no tenemos riesgo de cortarnos la mano en el servidor, activaremos el Firewall, seleccionaremos Firewall 1 y haremos clic en el botón Editar 2.
Marque la casilla 1 para activar el cortafuegos y haga clic en Aceptar 2.
El Firewall se activa a nivel de Datacenter.
Antes de continuar, compruebe en el servidor que el cortafuegos esté habilitado (está habilitado por defecto).
Estamos listos para utilizar el cortafuegos a nivel de máquina virtual.
Habilitar y configurar el firewall en una máquina virtual.
A continuación, veremos cómo configurar y activar el firewall en una máquina virtual en Proxmox.
Para ilustrar este tutorial, habilitaremos el acceso SSH a una máquina virtual con el firewall de Proxmox.
Como puede ver, el cortafuegos no está activado por defecto.
Antes de activar el firewall, debes verificar que la tarjeta de red tenga la opción de activarse, la opción del firewall debe estar configurada en 1.
Si no está habilitado, debe marcar la casilla de Firewall en la configuración de la tarjeta.
En las opciones de la máquina virtual, vaya a Firewall / Opciones, seleccione Firewall 1 y haga clic en Editar 2.
Marque la casilla 1 y haga clic en Aceptar 2.
El cortafuegos está activado y, como se puede observar, el tráfico entrante se rechaza por defecto.
Para probar la funcionalidad, al intentar conectarse a la máquina virtual mediante SSH, la conexión no se establece y se produce un error de tiempo de espera, lo que indica que el cortafuegos ha cumplido su función.
Ahora crearemos una regla en el Firewall de la máquina virtual para permitir conexiones SSH (22).
Vaya a Firewall 1 en el nivel de la máquina virtual y haga clic en Agregar 2.
Configure una regla para permitir el tráfico entrante en el puerto 22 1 y haga clic en Agregar 2.
Para el tutorial, habilité el registro de eventos en la regla.
La regla se agrega para la máquina virtual.
Esta vez puedo conectarme a la máquina virtual a través de SSH.
La conexión se puede encontrar en la sección de Registro del cortafuegos.
Sabes cómo crear una regla de firewall para una máquina virtual.
Crear una plantilla de regla
Hemos visto cómo hacerlo para una máquina virtual; es posible optimizar la gestión de reglas creando un modelo y luego aplicándolo a otro modelo.
Esta gestión se realiza a nivel del centro de datos.
Para empezar, registraremos el rango de red que permitiremos, a nivel de Datacenter, vaya a Firewall / Alias 1 y haga clic en Agregar 2.
Nombra el alias 1, introduce la IP o CIDR 2 y haz clic en Agregar 3.
Se ha creado el alias.
Vaya al Grupo de seguridad 1 y haga clic en Crear 2.
Asigne un nombre al grupo 1 y haga clic en el botón Crear 2.
Ahora agregaremos una regla a este grupo, haga clic en el botón Agregar 1.
Configure la regla 1 para permitir conexiones SSH seleccionando el alias en el campo de origen y luego haciendo clic en Agregar 2 para crear y agregar la regla al grupo.
La regla se añade al grupo.
Para agregar una regla a nivel de firewall de una VM, haga clic en Insertar: Grupo de seguridad 1.
Seleccione el grupo 1 y haga clic en Agregar 2.
Se agrega el grupo de reglas.
Suplementos
Puertos para servidores Proxmox
| Descripción | Protocolo | Puertos |
|---|---|---|
| interfaz web | tcp | ocho mil seis |
| Consola web VNC | TCP, WebSocket | 5900 – 5999 |
| proxy de especias | tcp | tres mil ciento veintiocho |
| sshd | tcp | veintidós |
| rpcbind | UDP | ciento once |
| tráfico del clúster corosync | UDP | 5405 – 5412 |
| migración en vivo | tcp | 60000 – 60050 |
Desactive el cortafuegos desde el archivo de configuración.
En caso de un error de configuración, si ha perdido el control del servidor, es posible deshabilitar el firewall desde el siguiente archivo: /etc/pve/firewall/cluster.fw cambiando el valor de enable: de 1 a 0.
Ahora ya sabes cómo usar el firewall de Proxmox para proteger el tráfico de las máquinas virtuales.
