ESXi 5 の F/W に穴を開ける

ESXi 5 からファイアーウォール機能がついているので、許可されてない通信は inbound/outbound 共にブロックされるようになっています。このことをすっかり失念していて、シェルスクリプトからメールが飛ばないトラブルシューティングにどっぷりとはまり込むことになってしまいました。

そもそも nc の結果がだんまりというところで気づくべきところだったんですが、inbound はともかく、普段 outbound を厳密にブロックする運用をしていなかったので、そこに思い至るまでにいろいろと試行錯誤することになってしまいました。問題さえ分かってしまえば、設定はそれほど難しくありません。

以下、設定メモ。

† ESXi5 のファイアーウォール設定

vSphere Client からファイアーウォールの設定は、ESXiマシンを選択→「構成」タブを選択→左側の一覧から「セキュリティプロファイル」を選択とやると表示させることができますが、この画面からだと各項目のOn/Offは選択できるものの、項目の追加等はできないようです。ということで、 ssh で ESXi サーバにログインして設定ファイルを書き換えることにします。今回は「チラシの裏の電子工作 ESXi5でVNCを使う方法（ESXi5.0のFWに穴掘り）」を参考にsmtpを許可する設定をしてみました。

どうやら ESXi5 は /etc/vmware/firewall/ の下にある .xml ファイルをファイアーウォールのルールとして読み込んでくれるようなので、下記の設定を作成します。

/etc/vmware/firewall/smtp.xml

<ConfigRoot>
  <!-- smtp -->
  <service id="1000">
    <id>smtp</id>
    <rule id='0000'>
      <direction>outbound</direction>
      <protocol>tcp</protocol>
      <porttype>dst</porttype>
      <port>
        <begin>25</begin>
        <end>25</end>
      </port>
    </rule>
    <enabled>true</enabled>
    <required>false</required>
  </service>
</ConfigRoot>

その後、下記のコマンドでファイアーウォールのルールを再読込します。