41.2. Файлы конфигурации
Вся конфигурация, связанная с межсетевым экраном, хранится в файловой системе кластера. Поэтому эти файлы автоматически распространяются на все узлы кластера, а служба pve-firewall при изменениях автоматически обновляет базовые правила iptables.
Управление правилами осуществляется через веб-интерфейс PVE (например, → или → ) или через конфигурационные файлы (/etc/pve/firewall/).
Файлы конфигурации брандмауэра содержат разделы пар ключ-значение. Строки, начинающиеся с символа #, и пустые строки считаются комментариями. Разделы начинаются со строки заголовка, которая содержит имя раздела, заключенное в квадратные скобки.
41.2.1. Настройка кластера
Файл /etc/pve/firewall/cluster.fw используется для хранения конфигурации PVE Firewall на уровне всего кластера. Этот файл содержит глобальные правила и параметры, которые применяются ко всем узлам и ВМ в кластере. Файл автоматически синхронизируется между всеми узлами кластера через PVE Cluster File System (pmxcfs).
Файл
/etc/pve/firewall/cluster.fw состоит из нескольких секций, каждая из которых отвечает за определённые аспекты конфигурации firewall. В файле содержатся следующие секции:
[OPTIONS] — используется для установки параметров межсетевого экрана;
[RULES] — правила межсетевого экрана;
[IPSET <имя_набора>] — определения набора IP-адресов;
[GROUP <имя_группы>] — определения групп безопасности;
[ALIASES] — определения псевдонимов.
Таблица 41.1. Опции секции [OPTIONS] файла cluster.fw
|
Опция
|
Описание
|
|
ebtables: <1|0> (по умолчанию = 1)
|
Включить правила ebtables для всего кластера
|
|
enable: <1|0>
|
Включить или отключить межсетевой экран для всего кластера
|
|
log_ratelimit: [enable=]<1|0> [,burst=<integer>] [,rate=<rate>]
|
Настройки ограничения частоты записи логов (rate limiting) в PVE Firewall.
burst=<integer> (0 — N) (по умолчанию = 5) — максимальное количество логов, которые могут быть записаны за один раз (пиковое значение);
enable=<1|0> (по умолчанию = 1) — включить или отключить ограничение частоты записи логов;
rate=<rate> (по умолчанию = 1/second) — средняя скорость записи логов. Формат: <число>/<интервал> (например, 1/second, 5/minute).
|
|
policy_in: <ACCEPT | DROP | REJECT>
|
Политика по умолчанию для входящего трафика. Возможные значения:
|
|
policy_out: <ACCEPT | DROP | REJECT>
|
Политика по умолчанию для исходящего трафика (аналогично policy_in)
|
Параметры межсетевого экрана кластера можно настроить в веб-интерфейсе ( → → ):
По умолчанию межсетевой экран отключен. Включить межсетевой экран можно, отредактировав параметр
Сетевой экран в веб-интерфейсе или установив опцию
enable в файле
/etc/pve/firewall/cluster.fw:
[OPTIONS]
# enable firewall (настройка для всего кластера, по умолчанию отключено)
enable: 1
При включении межсетевого экрана трафик ко всем узлам будет заблокирован по умолчанию. Исключениями являются только WebGUI (8006) и SSH (22) из локальной сети.
Чтобы администрировать узлы PVE удаленно, нужно создать правила, разрешающие трафик с этих удаленных IP-адресов в веб-интерфейс (порт 8006). Можно также разрешить SSH (порт 22) и, возможно, SPICE (порт 3128).
Перед включением межсетевого экрана можно создать SSH-подключение к одному из узлов PVE. В этом случает, если что-то пойдет не так, доступ к узлу сохранится.
Чтобы упростить задачу удалённого администрирования, можно создать IPSet под названием «management» и добавить туда все удаленные IP-адреса. При этом будут созданы все необходимые правила межсетевого экрана для доступа к GUI из удаленного режима.
