Proxmox: Utilize a firewall integrada para proteger as máquinas virtuais.

   -     -   (0)  -    5 minutes

Neste tutorial, vamos ver como utilizar a funcionalidade Firewall (firewall) integrada no Proxmox para proteger as máquinas virtuais e gerir o tráfego de rede.

Apresentação do firewall no Proxmox

O Proxmox permite gerir um firewall ao nível do hipervisor, o que permite gerir os fluxos de rede nos seguintes níveis:

  • Do centro de dados
  • Dos servidores Proxmox
  • Máquinas virtuais e contentores (LXD)

Esta configuração pode ser efetuada em 3 níveis diferentes:

  • Centro de dados
  • Servidores
  • VM e CT

Neste tutorial, irei abordar principalmente os níveis das VM e dos CT.

A vantagem de gerir a firewall ao nível do hipervisor permite anular quaisquer alterações às opções da firewall ao nível do Windows ou do Linux.

Configuração do Firewall no Proxmox

Durante a instalação de um servidor Proxmox, por predefinição, o Firewall não está ativado; vamos começar por ativá-lo.

No Proxmox, ao nível do Datacenter, encontraremos a configuração e as opções globais.

Ao aceder às Opções, podemos ver que o firewall não está ativado.

Como o acesso à interface de administração do Proxmox, no meu caso, está numa VLAN separada com um firewall físico, vou alterar a regra do tráfego de entrada para autorizar, por predefinição, todo o tráfego. Se não quiser fazer esta alteração no final do tutorial, indico-lhe as portas a configurar para os hosts Proxmox.

Selecione Input Policy 1 e clique em Edit 2.

Selecione ACCEPT 1 e clique em OK 2.

Todo o tráfego de entrada está autorizado.

Agora que já não há risco de nos cortarmos a mão no servidor, vamos ativar o Firewall, selecionar Firewall 1 e clicar no botão Edit 2.

Marque a caixa 1 para ativar o Firewall e clique em OK 2.

O Firewall está ativado no Datacenter.

Antes de prosseguir, verifique num servidor se o firewall está ativado (por predefinição, está ativado).

Estamos prontos para utilizar o Firewall nas máquinas virtuais.

Ativar e configurar o Firewall numa máquina virtual

Vamos agora ver como configurar e ativar o firewall numa máquina virtual no Proxmox.

Para ilustrar este tutorial, vamos ativar o acesso SSH a uma máquina virtual com o Firewall Proxmox.

Como se pode ver, o firewall não está ativado por predefinição.

Antes de ativar o Firewall, é necessário verificar se a placa de rede tem a opção de ativação; a opção Firewall deve estar definida como 1.

Se não estiver ativado, é necessário marcar a caixa de seleção Firewall nas configurações da placa.

Nas opções da VM, vá para Firewall / Opções, selecione Firewall 1 e clique em Editar 2.

Marque a caixa 1 e clique em OK 2.

O Firewall está ativado e, como se pode ver, por predefinição, o tráfego de entrada é rejeitado.

Para testar o funcionamento, ao tentar ligar-me via SSH à máquina virtual, a ligação não é estabelecida com um erro de tempo limite, o firewall cumpriu a sua função.

Vamos agora criar uma regra no Firewall da máquina virtual para autorizar as ligações SSH (22).

Aceda ao Firewall 1 na máquina virtual e clique em Add 2.

Configure uma regra para autorizar o tráfego na porta 22 de entrada 1 e clique em Add 2.

Para o tutorial, ativei os registos na regra.

A regra foi adicionada à máquina virtual.

Desta vez, consigo ligar-me via SSH à máquina virtual.

Na secção Log do Firewall, encontra-se a ligação.

Já sabe como criar uma regra de firewall para uma máquina virtual.

Criar um modelo de regra

Vamos ver como fazer isso para uma máquina virtual; é possível otimizar a gestão das regras criando um modelo e, em seguida, aplicando-o a um modelo.

Esta gestão é feita ao nível do Datacenter.

Para começar, vamos registar o intervalo de rede que vamos autorizar. No Datacenter, vá a Firewall / Alias 1 e clique em Add 2.

Dê um nome ao alias 1, introduza o IP ou o CIDR 2 e clique em Add 3.

O alias foi criado.

Vá a Security Group 1 e clique em Create 2.

Dê o nome 1 ao grupo e clique no botão Create 2.

Vamos agora adicionar uma regra a este grupo; clique no botão Add 1.

Configure a regra 1 para autorizar ligações SSH, selecionando o alias no campo de origem e, em seguida, clique em Add 2 para criar e adicionar a regra ao grupo.

A regra é adicionada ao grupo.

Para adicionar uma regra ao nível do firewall de uma VM, clique em Insert: Security Group 1.

Selecione o grupo 1 e clique em Add 2.

O grupo de regras é adicionado.

Complementos

As portas para os servidores Proxmox

DescriçãoProtocoloPortas
Interface WebTCP8006
VNC Consola WebTCP, WebSocket5900 – 5999
Proxy SPICETCP3128
sshdTCP22
rpcbindUDP111
tráfego do cluster corosyncUDP5405 – 5412
migração ativaTCP60000 – 60050
Fonte: https://pve.proxmox.com/pve-docs/pve-admin-guide.html#_ports_used_by_proxmox_ve

Desativar o firewall a partir do ficheiro de configuração

Em caso de erro de configuração, se tiver perdido o controlo do servidor, é possível desativar o firewall a partir do seguinte ficheiro:/etc/pve/firewall/cluster.fw alterando o valor de enable de 1 para 0.

Agora já sabe como utilizar o firewall Proxmox para proteger o tráfego dos computadores virtuais.

Proxmox
Computadores virtuaisProxmoxSegurança
Soutenir
LinkedInReddit

📚 Articles similaires

Romain Drouche
Romain Drouche
Arquiteto de Sistemas | MCSE: Infraestrutura Essencial
Especialista em infraestruturas de TI com mais de 15 anos de experiência na área. Atualmente, como Gestor de Projetos de Sistemas e Redes e especialista em Segurança de Sistemas de Informação (SSI), utilizo a minha expertise para garantir a fiabilidade e a segurança dos ambientes tecnológicos.

Deixe um comentário