Firewall Aktivieren

[pakuzaz]

Guten Tag Gemeinde,

wie schaut es aus wenn wir in einem 12Node Cluster die "Clusterfirewall" einschalten? Sind die std. 22 / 8006 Ports freigeschaltet so das man sich nicht aussperrt?

Bei den Nodes ist die Firewall noch an und bei den VMs haben wir vorsorglich ausgeschatlet damit wir nach und nach diese in betrieb nehmen können. Könnte es probleme mit dem Clustergeben beim Aktivieren?

Gruß

 

[Arvyr]

Wenn keine Regel existiert wird alles geblockt.
Eine anti-lockout-rule gibt es meines Wissens nicht.

 

[aaron]

If you enable the firewall, traffic to all hosts is blocked by default. Only exceptions is WebGUI(8006) and ssh(22) from your local network.

Siehe https://pve.proxmox.com/pve-docs/pve-admin-guide.html#_enabling_the_firewall

 

[pakuzaz]

Guten Morgen Danke für eure Antworten,

also würde das zb. für einen Intern gehosteten Webserver so aussschauen?



Wir werden nun für alle Vms die Firewall Konfiguieren und dann die Firewall aktivieren oder würdet ihr anderst vorgehen?

Gruß

 

[ph0x]

Kommt drauf an, ob es verkraftbar ist, wenn eine VM erstmal offline ist. Falls ja, kann man auch erst anschalten und dann schauen, was man überhaupt braucht. Eleganter ist natürlich das Nachdenken im Vorfeld.

 

[Arvyr]

Ich weiß üblicherweise im Voraus welche Ports ich in einer VM benötige und gebe diese frei.
Die Reject-Rule kannst du dir sparen da die Firewall Whitelisting betriebt, d.h. am Ende gibt es eine implizite Reject/Deny-Regel die nicht sichtbar ist.

Hier ein Beispiel meiner Nextcloud-VM:

Ich nutze gerne die IPSets um IPv4 und IPv6 zusammenzufassen für den selben Host.

 

[pakuzaz]

Hallo,

was passiert eingentlich wenn ich folges einschalte:



Cluster weit, heißt das wenn ich nun die Firewall Aktivier das alles erlaubt ist oder wie kann ich das verstehen?

 

[Arvyr]

Das ist die Defaulteinstellung.
In diesem Fall würden alle Firewalls bei Proxmox den Traffic aus wie eingehend erlauben.
Wenn du Whitelisting betreiben willst, dann ist das ok.
Ansonsten rate ich davon ab.