Proxmox ve 6.2 Firewall使用

介紹

Proxmox VE 防火牆為你的 IT 基礎設施提供了一種簡單易用的防護手段。你既可以為叢集內的所有主機設定防火牆策略，也可以為單個虛擬機器和容器定義策略。防火牆巨集，安全組，IP集和別名等特性將大大簡化策略配置管理。
儘管所有的防火牆策略都儲存在叢集檔案系統，但基於 iptables 的防火牆服務在每個節點都是獨立執行的，從而為虛擬機器提供了完全隔離的防護。這套分散式部署的防火牆較傳統防火牆提供了更高的頻寬，並且完全支援IPv4 和 IPv6。

本文僅介紹web介面的操作

Proxmox VE Firewall 分為:
資料中心防火牆：Datacenter firewall
主機防火牆： Host firewall
虛擬機器防火牆：VM firewall

PS: 防火牆開啟順序Datacenter firewall–>Host firewall–>VM firewall，單獨開啟VM firewall是不生效的。
PS:新增規則前 firewall–option–firewall √ 先別勾等規則加好確認無誤後開啟。

Datacenter Firewall 開啟方法

點選Datacenter–點選Firewall

點選這裡yes開啟Datacenter Firewall

Host Firewall 開啟方法

點選host節點–點選 Firewall

yes 啟動firewall

VM Firewall 開啟方法

點選vm–點選 firewall

yes開啟VM Firewall。
PS: VM要開啟firewall在這裡開啟了firewall，還要VM Hardware–Network Device Firewall 勾選

叢集執行必須服務埠

Firewall預設是關閉的。
如果建立了叢集環境並且要開啟firewall，那麼需要考慮叢集執行必須的一些服務埠開放，因為firewall預設是阻斷的。
下面介紹以下相關埠
UDP 5405 5406
叢集host節點間要確保 corosync 正常，必須host之間 UDP/5405 DUP/5406 能互通
TCP/22
叢集host節點間tcp/22埠要互通
TCP/3128
tcp/3128 SPICE代理的服務埠
TCP/8006
tcp/8006是web管理控制檯的服務埠
TCP/5900-5999
tcp/5900-5999 VNC終端服務埠

各層級Firewall一些必須的規則

PS:新增規則前 firewall–option–firewall √ 先別勾等規則加好確認無誤後開啟。
VM Firewall
例如：VM要開啟ping，ssh，http
選中VM firewall–add

全部新增如下

Host Firewall
host之間開啟udp/5405 5406，tcp/3128，tcp/22，tcp/5900-5999
選中host節點 firewall–add

全部開啟如下

Datacenter firewall
例如：開啟tcp/8006 tcp/22
選中Datacenter–Firewall

各層級Firewall開啟√生效

完