Handbuch zur Serverkonfiguration für ESX - VMware
Handbuch zur Serverkonfiguration für ESX - VMware
Handbuch zur Serverkonfiguration für ESX - VMware
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
Kapitel 14 Sicherheit der Servicekonsole<br />
Die Änderung der Sicherheitsstufe der Servicekonsolen-Firewall beeinflusst bestehende Verbindungen nicht.<br />
Wenn die Firewall zum Beispiel auf niedriger Sicherheitsstufe ausgeführt wird und an einem Port, den Sie<br />
nicht ausdrücklich freigegeben haben, eine Sicherung ausgeführt wird, beendet eine Erhöhung der Sicherheitsstufe<br />
auf „Hoch“ die Sicherung nicht. Die Sicherung wird abgeschlossen und die Verbindung freigegeben.<br />
Anschließend werden <strong>für</strong> diesen Port keine weiteren Verbindungen akzeptiert.<br />
Freigeben eines Ports in der Firewall der Servicekonsole<br />
Wenn Sie Geräte, Dienste oder Agenten anderer Anbieter installieren, können Sie Ports in der Servicekonsolen-<br />
Firewall freigeben. Bevor Sie Ports <strong>für</strong> das Gerät oder den Dienst freigeben, konsultieren Sie die Herstellerspezifikationen,<br />
um zu bestimmen, welche Ports freigegeben werden müssen.<br />
Voraussetzungen<br />
Verwenden Sie dieses Verfahren nur, um Ports <strong>für</strong> Dienste oder Agenten freizugeben, die nicht über den<br />
vSphere-Client konfiguriert werden können.<br />
VORSICHT <strong>VMware</strong> unterstützt das Öffnen und Blockieren der Firewallports nur über den vSphere-Client oder<br />
den Befehl esxcfg-firewall. Eine Verwendung anderer Methoden oder Skripts zum Freigeben der Firewallports<br />
kann zu einem unerwarteten Verhalten führen.<br />
Vorgehensweise<br />
1 Melden Sie sich an der Servicekonsole an, und rufen Sie Root-Berechtigungen ab.<br />
2 Verwenden Sie den folgenden Befehl, um den Port freizugeben:<br />
esxcfg-firewall --openPort port_number,tcp|udp,in|out,port_name<br />
• Portnummer ist die vom Hersteller angegebene Portnummer.<br />
• Verwenden Sie tcp <strong>für</strong> TCP-Datenverkehr oder udp <strong>für</strong> UDP-Datenverkehr.<br />
• Verwenden Sie in, um einen Port <strong>für</strong> eingehenden Datenverkehr freizugeben, oder out, um den Port<br />
<strong>für</strong> ausgehenden Datenverkehr zu öffnen.<br />
• Portname ist ein beschreibender Name, damit der Dienst oder Agent identifiziert werden kann, der<br />
den Port verwendet. Ein eindeutiger Name ist nicht erforderlich.<br />
Beispiel:<br />
esxcfg-firewall --openPort 6380,tcp,in,Navisphere<br />
3 Führen Sie folgenden Befehl aus, um den Prozess vmware-hostd neu zu starten.<br />
service mgmt-vmware restart<br />
Blockieren eines Ports in der Firewall der Servicekonsole<br />
Sie können bestimmte Ports in der Firewall der Servicekonsole blockieren. Wenn Sie einen Port blockieren,<br />
werden aktive Sitzungen des Dienstes, der den Port verwendet, nicht notwendigerweise getrennt, sobald Sie<br />
den Port blockieren. Wenn Sie zum Beispiel eine Sicherung durchführen und Sie den Port <strong>für</strong> den Sicherungs-<br />
Agenten schließen, wird die Sicherung bis zum Abschluss fortgesetzt und der Agent die Verbindung freigibt.<br />
Sie können die Option -closePort verwenden, um nur die Ports zu blockieren, die Sie mit der Option -openPort<br />
freigegeben hatten. Wenn Sie ein anderes Verfahren verwendet haben, um den Port freizugeben, müssen Sie<br />
auch das entsprechende Gegenstück zu dem Verfahren verwenden, um ihn zu blockieren. So können Sie zum<br />
Beispiel den SSH-Port (22) nur blockieren, indem Sie die ein- und ausgehende SSH-Server-Verbindung im<br />
vSphere-Client deaktivieren.<br />
<strong>VMware</strong>, Inc. 217