13.8默认防火墙策略
防火墙默认会对以下网络通信开启控制策略:
13.8.1进/出数据中心的丢弃/拒绝策略
即使防火墙的出入控制策略被设为DROP或REJECT,集群内Proxmox VE主机仍将允许以下网络访问。
通过loopback端口的流量。
已建立的网络连接。
基于IGMP协议的通信流量。
开放管理终端到8006端口的TCP访问权限,以便访问Web管理控制台。
开放管理终端到5900-5999端口的TCP访问权限,以便使用VNC终端。
开放管理终端到3128端口的TCP访问权限,以便使用SPICE代理。
开放管理终端到22端口的TCP访问权限,以便ssh访问。
为corosync集群服务开放5404和5405端口的UDP访问权限。
为集群服务开放多播访问权限。
类型3(目的不可达)、4(拥堵控制)、11(超时)的ICMP流量。
以下网络包将被丢弃,并且即使开启日志也不会被日志记录。
处于非法连接状态的TCP流量。
和corosync无关的广播、多播和任意目的数据包,即目的端口不是5404和5405的数据包。
目的端口是43的TCP数据包。
目的端口是135和445的UDP数据包。
目的端口是137-139的UDP数据包。
源端口是137且目的端口是1024-65535的UDP数据包。
目的端口是1900的UDP数据包。
目的端口是135,139,445的TCP数据包。
源端口是53的UDP数据包。
其余网络通信将被丢弃或拒绝,并被日志记录。具体处理结果由防火墙→选项中的选项决定,具体包括NDP,SMURFS和TCP标志位过滤等。
可以查看以下命令的输出
# iptables-save
了解防火墙策略的活动情况。该命令的输出也会被合并到系统报告,并在Web GUI的节点描述选项卡展示,或通过pvereport命令查看。
13.8.2进/出客户机的丢弃/拒绝策略
默认情况下,除DHCP、NDP、路由告知、明确通过MAC和IP地址过滤策略排除的数据包以外,有关客户机的网络数据包都会被丢弃或拒绝。数据中心的丢弃和拒绝策略会被虚拟机自动继承,但和主机有关的例外通过策略则不会被集成。
可以使用12.8.1节中的iptables-save命令查看所有访问控制策略。