ProxmoxVE6.x 防火墙示例

By | 2020 年 9 月 3 日

参考ProxmoxVE6.x 默认防火墙规则,除去PVE默认已开放的流量,作出以下配置.
集群结构:

本地网 : vmbr0 网段:192.168.88.0/24 网关:192.168.88.254
集群网 : vmbr1 网段:192.168.34.0/24 网关:无
存储网 : vmbr2 网段:192.168.35.0/24 网关:无
使用Ceph : 是

集群防火墙:

cat /etc/pve/firewall/cluster.fw
[OPTIONS]

enable: 1

[ALIASES]

corosync_network 192.168.34.0/24 # 集群网192.168.34.0/24
local_network 192.168.88.0/24 # 本地网192.168.88.0/24
storage_network 192.168.35.0/24 # 存储网192.168.35.0/24

[IPSET blacklist] # 默认集-黑名单


[IPSET management] # 默认集-管理

corosync_network
local_network
storage_network

[RULES]

GROUP main # 全局引用-主组
GROUP storage # 全局引用-存储组

[group main] # 主要组

IN ACCEPT -dest local_network -p tcp -dport 8006 -log nolog # 公网访问WEB
IN SSH(ACCEPT) -dest local_network -log nolog # 公网访问SSH

[group storage] # 存储组

IN Ceph(ACCEPT) -source storage_network -dest storage_network -log nolog

VMID100防火墙:

cat /etc/pve/firewall/100.fw 
[OPTIONS]

enable: 1
#开启MAC过滤,开启MAC过滤后虚拟机里改变MAC网络会不通.防止ARP攻击
macfilter: 1
#开启IP自动过滤(放行根据MAC生成的IPV6地址和关联的IP)
ipfilter: 1
#放行IN流量
policy_in: ACCEPT

[IPSET ipfilter-net0] # IP手动过滤(上面自动过滤不开启也生效)
#net0网卡只允许192.168.88.55流量,防止虚拟机盗用IP
192.168.88.55

允许使用FTP

echo "ip_conntrack_ftp" >> /etc/modules
modprobe ip_conntrack_ftp

发表评论

电子邮件地址不会被公开。 必填项已用*标注