ESXi Firewall. Nueva funcionalidad en vSphere 5
Cortafuegos protege el interfaz de gestión de un host ejecutando ESXi. Provee capacidades de control de acceso de manera similar a como existían en la plataforma ESX.
La pasada semana os presentábamos las nuevas funcionalidades de vSphere 5, e incluso profundizábamos en las mejoras introducidas en el almacenamiento con la aparición del concepto de cluster a nivel de almacenamiento y la aplicación de DRS a este nivel.
Hoy vamos a hablaros de una nueva funcionalidad introducida en el hypervisor ESXi que viene con un Firewall integrado. Este cortafuegos protege el interfaz de gestión de un host ejecutando ESXi, de tal modo que provee capacidades de control de acceso de manera similar a como existían en la plataforma ESX.
Esta funcionalidad de poder controlar el acceso al Host es realizada gracias a un módulo de firewall implementado a nivel de vmknic (Adaptador de red virtual – VMkernel network adaptor). Este módulo se sitúa entre la vmknic y el virtual switch comprobando los paquetes que circulan en función de unas reglas de firewall establecidas. Basado en estas reglas, decide bloquear o dejar pasar un paquete.
Principales características del Firewall ESXi
El módulo de firewall presenta las siguientes características:
- Es un firewall stateless orientado a servicio, por lo tanto bloquea paquetes en base a decisiones como dirección IP origen/destino, puertos u otros valores estáticos.
- Soporta capacidades adicionales para restringir el acceso basado en direcciones IP y máscaras de subred.
- Su interfaz de configuración es similar al del firewall de la versión ESX.
- El firewall puede ser configurado a través de los cambios realizados en la herramienta de configuración en línea de comando: esxcli.
- Existe soporte para crear pérfiles de Host.
Interfaz de administración del Firewall (ESXi Firewall GUI)
Las reglas del firewall pueden ser administradas a través del cliente de vSphere en el modo de visualización Host and Cluster. Para ello tendremos que acceder a la sección de configuración y a continuación a Security Profile.
En la siguiente imagen se puede ver un ejemplo de configuración del firewall en un Host ESXi:

Una vez que se han creado reglas a partir de este interfaz, internamente en el Host dentro del directorio /etc/vmware/firewall, se crean ficheros XML relativos a los servicios y reglas creadas. De este modo, se pueden crear “a mano” nuevas reglas y recargar las reglas a través del comando esxcli.
Administración del Firewall a través de esxcli
El comando esxcli se ha actualizado para poder gestionar el firewall del Host. En esta imagen se muestran las opciones disponibles para administrar el firewall.

Como regla general, el comando get sirve para obtener información de la configuración actual del firewall y el comando set permite establecer nuevas reglas.