Firewall Option Rechenzentrum

TheMrg

Well-Known Member
Aug 1, 2019
122
4
58
43
Wir haben die Firewall Option auf RZ Ebene aktiviert. Nun kommen wir nicht mehr an das GUI oder per SSH drauf. Wei können wir die Firewall wieder abschalten?
 
Greift ihr von einem anderen Netz auf die PVE nodes zu? IIRC sollte zumindest für das gleiche Netz SSH und GUI automatisch freigeschaltet sein.
Ansonsten sollte es helfen auf Datacenter Ebene Regeln zu erstellen die SSH (TCP 22) und GUI (TCP 8006) aus eurem Netz zulassen. Die restlichen Ports die evtl. benötigt werden (noVNC oder Spice zB) sind in der Doku https://pve.proxmox.com/pve-docs/pve-admin-guide.html#_ports_used_by_proxmox_ve
 
Danke für die schnelle Antwort. Wir greifen über das Internet zu. Also ist es dabei normal, dass der Zugriff dabei blockiert wird?
Auch ICMP wurde blockiert (wir überwachten die Server mittels externen Dienst und Ping).
Wir haben nun auf Datacenter Ebene im VE:
Firewall Regeln angelegt
in ACCEPT tcp 8006 8006 no log (Interface , Quelle und Ziel sind leer).
in ACCEPT tcp 2222 2222 no log (Interface , Quelle und Ziel sind leer). (SSH port)
in ACCEPT Ping nolog (Interface , Quelle und Ziel sind leer).
Dies ist doch korrekt oder? Wir wollen nur sicher gehen und nicht wieder auszusperren ;)

Die Firewall hat keinen impact auf die VMs die laufen, sofern die NICs der VMs nicht mit der Option Firewall "getaggt" wurden oder?
 
Dies ist doch korrekt oder? Wir wollen nur sicher gehen und nicht wieder auszusperren ;)
Wenn Ihr die Quelle auf eine IP oder einen IP Bereich einschränken könnt, von dem darauf zugegriffen wird, ist das der Sicherheit sicher zuträglich.
Ansonsten schaut das eigentlich gut aus und sollte klappen AFAICT.

Die Firewall hat keinen impact auf die VMs die laufen, sofern die NICs der VMs nicht mit der Option Firewall "getaggt" wurden oder?
Die Firewall ist entweder für die Nodes (Cluster) oder Gäste relevant, je nachdem wo man die Regeln konfiguriert. Regeln für die Nodes (Cluster) betreffen nicht die Gäste und umgekehrt.

https://pve.proxmox.com/pve-docs/pve-admin-guide.html#chapter_pve_firewall
 
Wir haben auf einem Testnode (einzelner Proxmox 6) mal die Firewall ausprobiert. Sobald wir diese aktivieren verlieren wir das WebGUI sowie SSH und den Ping:
Wir haben auf Datacenter und Node Ebene jeweils:
in ACCEPT tcp 8006 8006 no log (Interface , Quelle und Ziel sind leer).
in ACCEPT tcp 2222 2222 no log (Interface , Quelle und Ziel sind leer). (SSH port)
in ACCEPT Ping nolog (Interface , Quelle und Ziel sind leer).

Was machen wir falsch?
 
Ah, hatten Source Port gesetzt, das macht natürlich keinen Sinn. Nun scheint es zu funktionieren.
 
Noch eine Frage: Was ist der Unterschied in der Datacenter Firewall Config und per Node Config in einem Proxmox Cluster?
 
Noch eine Frage: Was ist der Unterschied in der Datacenter Firewall Config und per Node Config in einem Proxmox Cluster?
DC FW geht auf alle Nodes und in der Node FW eben nur auf die eine Node. Wenn man die Regeln alle gesammelt haben will und Nodespezifische Regeln braucht, kann man auch auf DC->FW Ebene Security Groups definieren und diese dann auf Node Ebene einbinden. Dann sieht man bei jeder Node was konfiguriert ist.

Hoffe das erklärts :)
 

About

The Proxmox community has been around for many years and offers help and support for Proxmox VE, Proxmox Backup Server, and Proxmox Mail Gateway.
We think our community is one of the best thanks to people like you!

Get your subscription!

The Proxmox team works very hard to make sure you are running the best software and getting stable updates and security enhancements, as well as quick enterprise support. Tens of thousands of happy customers have a Proxmox subscription. Get yours easily in our online shop.

Buy now!