Firewall Regeln dauerhaft übernehmen

[Brovning]

Hallo Zusammen,
wie kann man Firewall Regeln erstellen, welche dauerhaft übernommen werden?

Aktuell erstelle ich eine Firewall Regel in folgender Form:

Code: Alles auswählen

<ConfigRoot>
 <service id='8443'>
 <id>SVN</id>
  <rule id='0000'>
   <direction>inbound</direction>
   <protocol>tcp</protocol>
   <porttype>dst</porttype>
   <port>8443</port>
  </rule>
  <rule id='0001'>
   <direction>outbound</direction>
   <protocol>tcp</protocol>
   <porttype>src</porttype>
   <port>8443</port>
  </rule>
 <enabled>true</enabled>
 <required>false</required>
 </service>
</ConfigRoot>

Speichere die Datei als bspw. svn.xml und uploade die Datei in /etc/vmware/firewall/.
Nach einem Reboot ist die XML-Datei gelöscht...

[~thc]

ESXi startet, in dem der Bootloader alle gepackten Dateien in /(alt)bootbank und die aktuelle Konfiguration (state.tgz) in eine RAMDisk auspackt und startet. (Fast) alle Änderungen am Dateisystem sind nach einem Neustart deswegen wieder verschwunden. Einige wenige Dateien (z.B. die Zertifikate) bewahrt der ESXi in der state.tgz auf.

Wenn es nicht in der Konfiguration verankerbar ist, müsstest du eine eigene VIB-Datei mit den zusätzlichen Dateien schreiben.

[Brovning]

Hallo,
vielen Dank für deine Rückmeldung!

Mit "VIB Firewall" wurde ich fündig:
https://kb.vmware.com/selfservice/micro ... Id=2007381
https://labs.vmware.com/flings/vib-author

Weshalb ist hier ESXi 6.5 nicht gelistet und weshalb ist der VIB-Author deprecated?
Funktioniert es mit ESXI 6.5 anders?

Hättest du einen Link für mich?

Gruß

Jürgen

[~thc]

Nein, da kann ich dir leider nicht weiterhelfen.
Ich hatte mal vor, für ein kleines Projekt eine VIB-Datei zu schreiben, bin aber nie dazu gekommen.

[Brovning]

Hallo,
Ok, trotzdem Danke!

Hätte ansonsten jemand einen sachdienlichen Hinweis für mich?

Gruß

Jürgen

[rprengel]

Hallo,
Ok, trotzdem Danke!

Hätte ansonsten jemand einen sachdienlichen Hinweis für mich?

Gruß

Jürgen

Ein bootfestes Script bauen?
Gruss

[JustMe]

Hast Du Dich hiermit schon aueinandergesetzt?

Ansonsten:
- Selber ausprobiert habe ich das nicht.
- Deprecated bedeutet "ueberholt". Das sollte man kurz nach der Amtseinfuehrung des derzeitigen US-Praesis gelernt haben.
- Dass "deprecated" nicht automatisch bedeutet, dass etwas bereits durch etwas anderes, besseres ersetzt wurde, zeigt sich an demselben Beispiel.
- Warum das Fling "deprecated" ist, erschliesst doch schon allein aus dem Herausgabedatum der "neuesten" Version des Flings.
- Ebenso weist VMware in der abzunickenden "Technical Preview License" und auch im erwaehnten KB-Artikel wiederholt darauf hin, dass es sich um ein "nicht offiziell supportetes" Tool handelt.
- Dass in der Beispielregel des o.g. Links die Version bis "6.5.0" laeuft, sowie dieser Beitrag vom Maerz 2017 stammt, laesst darauf hoffen, dass es in ESXi 6.5 noch immer so klappen koennte.

[Brovning]

Ok, vielen Dank!
Dann werde ich das mal probieren.