BLOGTIMES
2011/11/19

ESXi 5 の F/W に穴を開ける

  esxi 
このエントリーをはてなブックマークに追加

ESXi 5 からファイアーウォール機能がついているので、許可されてない通信は inbound/outbound 共にブロックされるようになっています。このことをすっかり失念していて、シェルスクリプトからメールが飛ばないトラブルシューティングにどっぷりとはまり込むことになってしまいました。

そもそも nc の結果がだんまりというところで気づくべきところだったんですが、inbound はともかく、普段 outbound を厳密にブロックする運用をしていなかったので、そこに思い至るまでにいろいろと試行錯誤することになってしまいました。問題さえ分かってしまえば、設定はそれほど難しくありません。

以下、設定メモ。

ESXi5 のファイアーウォール設定

vSphere Client からファイアーウォールの設定は、ESXiマシンを選択→「構成」タブを選択→左側の一覧から「セキュリティプロファイル」を選択とやると表示させることができますが、この画面からだと各項目のOn/Offは選択できるものの、項目の追加等はできないようです。ということで、 ssh で ESXi サーバにログインして設定ファイルを書き換えることにします。今回は「チラシの裏の電子工作 ESXi5でVNCを使う方法(ESXi5.0のFWに穴掘り)」を参考にsmtpを許可する設定をしてみました。

どうやら ESXi5 は /etc/vmware/firewall/ の下にある .xml ファイルをファイアーウォールのルールとして読み込んでくれるようなので、下記の設定を作成します。

/etc/vmware/firewall/smtp.xml

<ConfigRoot> <!-- smtp --> <service id="1000"> <id>smtp</id> <rule id='0000'> <direction>outbound</direction> <protocol>tcp</protocol> <porttype>dst</porttype> <port> <begin>25</begin> <end>25</end> </port> </rule> <enabled>true</enabled> <required>false</required> </service> </ConfigRoot>

その後、下記のコマンドでファイアーウォールのルールを再読込します。

# esxcli network firewall refresh

そうすると下記のように一覧に smtp が表示されているので、左側のチェックボックスにチェックをつけて「OK」を押します。
ファイアーウォールのプロパティ - ESXi 5 の F/W に穴を開ける

これで ESXi サーバから外部に対して smtp ができるようになりました。


    トラックバックについて
    Trackback URL:
    お気軽にどうぞ。トラックバック前にポリシーをお読みください。[policy]
    このエントリへのTrackbackにはこのURLが必要です→https://blog.cles.jp/item/4586
    Trackbacks
    このエントリにトラックバックはありません
    Comments
    愛のあるツッコミをお気軽にどうぞ。[policy]
    古いエントリについてはコメント制御しているため、即時に反映されないことがあります。
    コメントはありません
    Comments Form

    コメントは承認後の表示となります。
    OpenIDでログインすると、即時に公開されます。

    OpenID を使ってログインすることができます。

    Identity URL: Yahoo! JAPAN IDでログイン