In questo tutorial vedremo come utilizzare la funzionalità Firewall integrata in Proxmox per proteggere le macchine virtuali e gestire il traffico di rete.
Sommario
Presentazione del firewall in Proxmox
Proxmox consente di gestire un firewall a livello di hypervisor che permette di gestire i flussi di rete a livello di:
- Datacenter
- Dei server Proxmox
- Macchine virtuali e container (LXD)
Questa configurazione può essere effettuata a 3 livelli diversi:
- Data center
- Server
- VM e CT
In questo tutorial mi concentrerò principalmente sul livello delle VM e dei CT.
Il vantaggio di gestire il firewall a livello di hypervisor è quello di rendere inoperanti tutte le modifiche alle opzioni del firewall a livello di Windows o di Linux.
Configurazione del firewall in Proxmox
Durante l’installazione di un server Proxmox, per impostazione predefinita il firewall non è attivato, quindi inizieremo attivandolo.
In Proxmox, a livello di Datacenter, troveremo la configurazione e le opzioni globali.
Andando su Opzioni, si può vedere che il firewall non è attivato.
Poiché l’accesso all’interfaccia di amministrazione di Proxmox si trova in una VLAN separata con un firewall fisico, modificherò la regola del traffico in entrata per autorizzare di default tutto il traffico. Se non si desidera apportare questa modifica alla fine del tutorial, di seguito sono riportate le porte da configurare per gli host Proxmox.
Selezionare Input Policy 1 e fare clic su Edit 2.
Selezionare ACCEPT 1 e cliccare su OK 2.
Tutto il traffico in entrata è autorizzato.
Ora che non c’è più il rischio di “tagliarsi le mani” sul server, attiveremo il firewall: selezionare Firewall 1 e cliccare sul pulsante Modifica 2.
Spuntare la casella 1 per attivare il Firewall e cliccare su OK 2.
Il firewall è attivato a livello di data center.
Prima di proseguire, verificare a livello di server che il firewall sia attivato (per impostazione predefinita è attivato).
Siamo pronti per utilizzare il Firewall a livello delle macchine virtuali.
Attivare e configurare il firewall su una macchina virtuale
Vediamo ora come configurare e attivare il firewall su una macchina virtuale in Proxmox.
Per illustrare questo tutorial, attiveremo l’accesso SSH a una macchina virtuale con il firewall Proxmox.
Come si può vedere, il firewall non è attivato di default.
Prima di attivare il firewall, è necessario verificare che la scheda di rete abbia l’opzione di attivazione; l’opzione firewall deve essere impostata su 1.
Se non è attivato, è necessario spuntare la casella Firewall nelle impostazioni della scheda.
Nelle opzioni della VM, andare su Firewall / Opzioni, selezionare Firewall 1 e cliccare su Modifica 2.
Selezionare la casella 1 e cliccare su OK 2.
Il firewall è attivato e, come si può vedere, per impostazione predefinita il traffico in entrata viene rifiutato.
Per testarne il funzionamento, provando a collegarmi via SSH alla macchina virtuale, la connessione non viene stabilita con un errore di timeout: il firewall ha fatto il suo lavoro.
Ora creeremo una regola nel firewall della macchina virtuale per autorizzare le connessioni SSH (22).
Andare su Firewall 1 a livello della macchina virtuale e cliccare su Add 2.
Configurare una regola per autorizzare il traffico in entrata sulla porta 22 1 e cliccare su Add 2.
Per il tutorial ho attivato i log sulla regola.
La regola è stata aggiunta per la macchina virtuale.
Ora posso collegarmi via SSH alla macchina virtuale.
Nella sezione Log del Firewall, è possibile visualizzare la connessione.
Ora sapete come creare una regola firewall per una macchina virtuale.
Creare un modello di regola
Vedremo come fare per una macchina virtuale: è possibile ottimizzare la gestione delle regole creando un modello e applicandolo poi a un modello.
Questa gestione avviene a livello di Datacenter.
Per iniziare, registreremo l’intervallo di rete che autorizzeremo; a livello di Datacenter, andate su Firewall / Alias 1 e cliccate su Add 2.
Assegnare un nome all’alias 1, inserire l’IP o il CIDR 2 e cliccare su Add 3.
L’alias è stato creato.
Andare su Security Group 1 e cliccare su Create 2.
Assegnare il nome 1 al gruppo e fare clic sul pulsante Create 2.
Ora aggiungeremo una regola a questo gruppo, cliccando sul pulsante Add 1.
Configurare la regola 1 per autorizzare le connessioni SSH selezionando l’alias nel campo sorgente, quindi fare clic su Add 2 per creare e aggiungere la regola al gruppo.
La regola viene aggiunta al gruppo.
Per aggiungere una regola a livello del firewall di una VM, cliccare su Insert: Security Group 1.
Selezionare il gruppo 1 e cliccare su Add 2.
Il gruppo di regole viene aggiunto.
Ulteriori informazioni
Le porte per i server Proxmox
| Descrizione | Protocollo | Porte |
|---|---|---|
| Interfaccia web | TCP | 8006 |
| VNC Console web | TCP, WebSocket | 5900 – 5999 |
| Proxy SPICE | TCP | 3128 |
| sshd | TCP | 22 |
| rpcbind | UDP | 111 |
| traffico cluster corosync | UDP | 5405 – 5412 |
| migrazione live | TCP | 60000 – 60050 |
Disattivare il firewall dal file di configurazione
In caso di errore di configurazione, se avete perso il controllo del server, è possibile disattivare il firewall dal seguente file:/etc/pve/firewall/cluster.fw modificando il valore di enable da 1 a 0.
Ora sapete come utilizzare il firewall Proxmox per proteggere il traffico delle macchine virtuali.
