ESX 3防火墙规则分析与修改

大 家在使用ESX 3的时候很多时候都会碰到内置的防火墙会关闭掉很多端口，于是外面不能访问console，console也不能访问外面的情况。但是在vc中配置防火墙 只能配置预设的端口开关。一般大家选择的方式就是关闭其内置的防火墙，这样给console带来了很大的危险，容易出现console被黑的情况。上周正 好看到vm ware的认证文档中提到了console内的 网络部分，于是仔细研究了一下vmware的防火墙，现在把学习研究的成果和大家分享。
1、vmware防火墙核心
vmware的console就是一个linux，其使用的防火墙就是linux默认的iptables，如果大家对linux比较熟悉也可以不用 vmware自带的防火墙而改用自己熟悉的脚本。vmware的防火墙脚本是/etc/init.d/firewall，在系统启动的时候调用 firewall start，可以使用firewall stop关闭防火墙。
2、vmware防火墙脚本分析
/etc/init.d/firewall脚本是一个标准的linux启动脚本，其参数有start,stop,status,restart几个。利用文本编辑器可以看到其内部脚本是这样的 可以看出，其使用的核心是/usr/sbin/esxcfg-firewall，我们使用file 命令可以看到这个命令也是一个脚本 如果大家熟悉perl脚本就可以读这个程序了。这里不再详细分析此脚本，只要注意到脚本中有一个 从脚本中可以看出，防火墙的配置 文件放在/etc/vmware/firewall 下面。
到firewall下面可以看到有一个services.xml，这个就是vmware的防火墙配置文件了。
分析这个标准的xml文件可以看出，每一个规则是一个service，一个service就是这样的一个xml段 这个xml段中id是标示service的，不能重复，其中sshServer就是在vc中看到的名字，rule中就是规则了。
direction中是出(outbound)或者入(inbound)的标示，protocol是表明tcp还是udp，port是目的端口(dst)(原端口用的比较少)。flags是其他一些iptables中选项。
3、改造和添加自己的规则
知道了vmware防火墙规则是如何定义的，我们就可以自己改造规则和添加新规则了。
比如我们希望能够改造ssh的端口为非标准的22端口，改为220端口，只要在上面的sshServer中修改22为220即可，改造完成的sshServer就是这个样子的 当然我们也可以自己来添加新的规则，比如我们自己添加一个可以把主机的日志发送到日志机的规则。在这个规则中首先是要分析协议，syslog的协议是udp，出方向，目的端口是514，于是我们在service.xml中添加如下几行：

即可。添加的时候注意<service id='0028'>中的id不能和原有的id重复。
添加完成后执行/etc/init.d/firewall restart就可以把规则生效了。
4、修改、添加规则之后的处理
修改、添加这时候我们去vc中看，你会发现刚才修改的内容在vc中没有反应。这时候就需要在console中重启相关的控制进程，执行/etc /init.d/mgmt-vmware restart，这个操作不影响现有运行的vm，这时候就会发现sshServer的端口已经变成220了，但是可能会发现刚才加的syslog的规则没 有出现。这时候就要修改/etc/vmware/esx.conf中的东西了。这个修改一定要注意，否则可能出现严重问题。在这个文件中可以找到 /firewall/services/sshClient = "1"字样，在下面手工添加一行/firewall/services/syslogClient = "1"，之后执行/etc/init.d/mgmt-vmware restart，再次刷新vc就可以看到你添加的syslog的规则了。还算是比较容易吧！
好了，其他的部分留给大家了，大家可以自行仔细研究vmware的防火墙脚本，可以发现更多的东西。

转自：http://bbs.vmware.cn/viewthread.php?tid=17513&highlight=