Hola a tod@s,
En este post vamos a ver como crear reglas del firewall en nuestro vCenter para limitar y supervisar el acceso a la plataforma.
- Para todo el tráfico de red entrante en el firewall se pueden aplicar esta acciones:
- Aceptar, permite el paquete con la dirección correspondiente.
- Omitir, descarta el paquete con la dirección correspondiente.
- Rechazar, descarta el paquete con la dirección correspondiente mientras que no se puede acceder al destino de envío.
- Regresar, aplica reglas predeterminadas o específicas del puerto en un paquete con la dirección correspondiente.
- Para configurar reglas de firewall accedemos a la interface VAMI y accedemos a Firewall > AGREGAR:
- Vamos a crear una regla para permitir el acceso desde una determinada IP:
- Y otra regla para denegar todo lo demás:
- Aquí tenemos las dos reglas creadas:
- Ahora si accedemos por SSH a nuestro vCenter y hacemos un iptables -L veremos que ya tenemos estas dos reglas agregadas, me muestra el nombre asignado a esa IP ya que tengo configurado DNS en el vCenter y está resolviendo esa IP:
- Con estas dos reglas le estamos indicando al vCenter que sólo será accesible desde la IP 192.168.14.14, aquí ya configuramos las reglas que nos vengan bien, y vamos añadiendo las que nos vayan haciendo falta, luego con REORDENAR podemos ponerla en el orden que nos venga bien:
Saludos y espero que os sea de ayuda 😉
Buenas!
Esto se podría configurar para evitar el acceso a la consola de vcenter desde cualquier ip de la red corporativa? Es decir, supongamos que desde la lan de la Empresa si el usuario conociera la ip para acceder a la consola, aunque no tenga credenciales para ingresar, a priori podría llegar a la pantalla de login. Por lo que esto permitiría que uno pueda especificar la dirección de un server bastion que sea el único que permita llegar hacia la consola, o esto podría traer otro inconveniente de comunicación en relación a todas las virtuales que uno tuviera implementados dentro de vcenter?
Gracias,
Buenas Neil, asi es, puedes crear una primera regla para permitir una sola ip y luego denegar todo, o permitir variais ips, ya según como te interese
Excelente! Gracias por la info.
Me quería asegurar que aplicar esta regla no impida el normal acceso a todos los servidores virtuales que están implementados dentro de vcenter (windows y linux) y que no se me generase un escenario de lockout.