首页 > 其他分享 >Proxmox VE软件防火墙的配置

Proxmox VE软件防火墙的配置

时间:2023-08-02 21:57:00浏览次数:52  
标签:设置 VE IP 端口 防火墙 ACCEPT Proxmox IP地址

1 软件防火墙的基本概念

防火墙是计算机网络中用于保护网络安全的关键技术。防火墙可以是硬件设备部署在网络出口,也可以是软件部署在终端设备出口。本文主要介绍软件防火墙。

软件防火墙可以根据网络流量的方向(进/出),以及报文中的源IP地址、目的地址、协议、源端口和目的端口等字段信息进行匹配,并采取相应的处理动作(接受、拒绝或丢弃)。

通过设置防火墙规则,可以限制或允许特定的网络流量进入或离开网络。例如,可以设置规则以允许特定IP地址或端口的合法传输,而拒绝来自未知或不信任来源的通信。这样可以有效地保护网络免受未经授权的访问、恶意攻击或不良内容的侵扰。

软件防火墙的优势在于它可以部署在各个终端设备上,为每个设备提供独立的保护。同时,软件防火墙可以随着网络环境的变化进行灵活调整和更新,以适应不断演变的安全威胁。

总之,软件防火墙是一种重要的网络安全技术,它通过匹配网络流量的特征信息并采取相应的处理动作,有效地保护计算机网络免受潜在的安全威胁。

1.1 防火墙方向(IN和OUT):

IN(进)方向指的是数据从外部网络流入到内部网络,也称为入站流量。

OUT(出)方向指的是数据从内部网络流出到外部网络,也称为出站流量。

若有多个网络接口,每个接口防火墙均可设置独立的规则,可以实现根据数据流的方向来进行处理和控制,以限制或允许特定的流量进出网络。

1.2 原IP地址(Source IP)和目的地址(Destination IP):

原IP地址(Source IP)是指发送数据的源IP地址,用于标识数据的来源。

目的地址(Destination IP)是指接收数据的目标IP地址,用于标识数据的去向。 防火墙可以基于源IP地址和目的IP地址来判断数据流的合法性,例如允许或拦截特定的IP地址。

1.3 协议(Protocol):

防火墙可以根据协议类型来进行处理和控制,常见的有协议TCP、UDP、ICMP、IGMP、GGP等。

1.4 源端口(Source Port)和目的端口(Destination Port):

通常在传输层协议TCP和UDP中才具有端口号。

源端口(Source Port)是指发送数据的源端口号,用于标识数据的来源应用或服务。

目的端口(Destination Port)是指接收数据的目标端口号,用于标识数据的去向应用或服务。 防火墙可以根据源端口和目的端口来限制或允许特定的应用或服务通信。

1.5 三种处理动作(ACCEPT、REJECT、DROP):

接受(ACCEPT)表示防火墙允许通过匹配的数据流进入或离开网络。

拒绝(REJECT)表示防火墙明确告知发送方数据流被拒绝,并发送错误消息给发送方。

丢弃(DROP)表示防火墙默默地丢弃匹配的数据流,不发送任何错误消息。 防火墙可以根据配置规则对数据流采取不同的处理动作,用于控制网络流量的通过或拒绝。

2 防火墙策略设计

为了安全考虑,对外端口越少越好,但是又要方便管理员管理。比如某内网DNS服务器,开发DNS、SSH等服务,部署在内网10.0.0.1/8中,只对内网网段开放UDP:53端口和ICMP回显,对管理员网段10.254.254.0/24则不做限制,其策略如下表。

 

表 1 防火墙策略

方向

源IP

目的IP

协议

源端口

目的端口

动作

备注

IN

10.0.0.0/8

ALL

UDP

ALL

53

ACCEPT

对内网开放DNS服务

IN

10.0.0.0/8

ALL

ICMP

-

-

ACCEPT

对内网开放ICMP协议

IN

10.254.254.0/24

ALL

ALL

ALL

ALL

ACCEPT

对管理员IP不做限制

OUT

ALL

ALL

ALL

ALL

ALL

ACCEPT

默认出接口策略不限制

IN

ALL

ALL

ALL

ALL

ALL

DROP

默认进接口

3 PVE防火墙

Proxmox VE虚拟平台自带一个pve-firewall.service服务,只需要在WEB后台中进行简单的设置,就可以对流量。后续将Proxmox VE,简称为PVE。

3.1 防火墙开启

在PVE中,支持为所有的集群、节点、虚拟机设置防火墙,但是防火墙默认情况下是关闭的状态。在开启之前请注意先开发自己所使用的IP,否则可能无法进入PVE WEB后台。

3.1.1 集群设置防火墙

 

图 1 集群设置防火墙

3.1.2 节点设置防火墙

 

图 2节点设置防火墙

3.1.3 虚拟机、容器设置防火墙

 

图 3 虚拟机、容器设置防火墙

如果是LXC容器,需要额外在网卡中开启防火墙,否则将不生效。

 

图 4 如果是LXC容器 需要开启网络卡防火墙

3.2 地址池IPSet

PVE防火墙策略中源IP、目的IP可以直接写IP地址和网段,也可以使用IPSet定义地址池,通常直接定义地址池,若后续需要修改策略IP地址,可以修改直接在IPSet中修改,或者是因为不同网段需要写两条策略的尴尬情况。

 

图 5 IPSet地址池

3.3 防火墙默认策略

通常防火墙的默认策略为IN方向进行DROP;OUT方向ACCEPT。

 

图 6 防火墙默认策略

3.4 添加策略

依据方向、IP地址、端口、协议,可以完成配置

 

图 7 添加防火墙策略

 

图 8 依据具体情况填写

标签:设置,VE,IP,端口,防火墙,ACCEPT,Proxmox,IP地址
From: https://www.cnblogs.com/alittlemc/p/17601851.html

相关文章

  • SQLFlow——除了 Google 的 BigQueryML,微软基于 SQL Server 的 AI 扩展,以及 Teradata
    蚂蚁金服开源机器学习工具SQLFlow,技术架构独家解读2019-05-15· SQLFlow · #SQLFlow5月6日,在 QCon全球软件开发大会(北京站)2019 上,蚂蚁金服副CTO胡喜正式宣布开源机器学习工具SQLFlow,他在演讲中表示:“未来三年,AI能力会成为每一位技术人员的基本能力。我们希望通过开......
  • tls1.3 可以看到client hello所有内容,还有一半的server hello,是看不到证书issuer、sub
    https://www.cloudshark.org/captures/64d433b1585a 看到tls1.3clienthello内容:SecureSocketsLayerTLSv1.3RecordLayer:HandshakeProtocol:ClientHelloContentType:Handshake(22)Version:TLS1.0(0x0301)Length:234HandshakeProtocol:ClientHelloHandshak......
  • 重构之Divergent Change(发散式变化)&Shotgun Surgery (散弹式修改)
    5.DivergentChange发散式变化描述:一个类被锚定了多个变化,当这些变化中的任意一个发生时,就必须对类进行修改。解释:一个类最好只因一种变化而被修改操作:你应该找出某特定原因而造成的所有变化,然后运用ExtractClass将它们提炼到另一个类中。6.ShotgunSurgery散弹式修改描述:一种变化......
  • live555交叉编译
    一、下载live555源码源码下载路劲为:http://www.live555.com/liveMedia/二、交叉编译下面以aarch64-linux-gnu编译器为例说明交叉编译方法2.1不编译openssl由于live555里面默认使用到openssl,需要先编译openssl,比较麻烦,可以配置不编译进去openssl.1、复制con......
  • IdentityServer4 密码模式
    1.Config添加用户的配置publicclassConfig{///<summary>///提示invalid_scope添加///</summary>publicstaticIEnumerable<ApiScope>ApiScopes=>newApiScope[]{newApiScope("api")};publicstaticIEnu......
  • 论文解读(APCA)《Adaptive prototype and consistency alignment for semi-supervised d
    [Wechat:Y466551|付费咨询,非诚勿扰]论文信息论文标题:Adaptiveprototypeandconsistencyalignmentforsemi-superviseddomainadaptation论文作者:JihongOuyang、ZhengjieZhang、QingyiMeng论文来源:2023aRxiv论文地址:download 论文代码:download视屏讲解:click1介绍......
  • 报错:This generated password is for development use only. Your security configura
    项目报错:Thisgeneratedpasswordisfordevelopmentuseonly.Yoursecurityconfigurationmustbeupdatedbeforerunningyourapplicationinproduction.导致postman测试接口时报错:401UnauthorizedSimilarto403Forbidden,butspecificallyforusewhenauthenticat......
  • hive同时使用where,group by,having,order by的执行顺序
    hive中分组排序过滤使用顺序。where,groupby,having,orderby同时使用,执行顺序为(1)where过滤数据(2)对筛选结果集groupby分组(3)对每个分组进行select查询,提取对应的列,有几组就执行几次(4)再进行having筛选每组数据(5)最后整体进行orderby排序所有需要先groupby再having......
  • LiveVideoStackCon 倒数计时:0
    我们悄无声息流走的智慧,有望在群体深度的信息和广泛的论辩中重新获得。                                             ——LinusTorvalds图片来源:《纽约时报》时间倒回两个月前,阿里......
  • Xenserver批量运维脚本
    可实现如下功能:你正在运行Xenserver脚本程序,有如下功能可选择1显示当前系统虚拟机列表2批量添加虚拟机磁盘3批量设置防鼠标漂移4虚拟机异常卡死处理5虚拟机后缀占位符设置,默认VDI-001占位符3若VDI-01占位符26功能说明手册0退出程序运行#!/bin/bashpdd=3#虚拟机后缀占......