Dans ce tutoriel, nous allons voir comment utiliser la fonctionnalité Firewall (pare-feu) intégré dans Proxmox pour sécuriser les machines virtuelles et gérer les flux réseaux.
Présentation du pare-feu dans Proxmox
Proxmox permet de gérer un Firewall au niveau de l’Hyperviseur qui permet gérer les flux réseaux au niveaux :
- Du Datecenter
- Des serveurs Proxmox
- Des machines virtuelles et conteneurs (LXD)
Cette configuration peut être effectué à 3 niveaux différents :
- Datacenter
- Serveurs
- VM et CT
Dans ce tutoriel, je vais principalement développer au niveau des VM et CT.
L’avantage de gérer le firewall au niveau de l’hyperviseur permet de rendre inopérante toutes modifications des options du pare-feu au niveau de Windows ou de Linux.
Configuration du Firewall dans Proxmox
Lors de l’installation d’un serveur Proxmox, par défaut le Firewall n’est pas activé, on va commencer par l’activer.
Dans Proxmox au niveau du Datacenter, on va trouver la configuration et des options globales.
En allant sur les Options, on peut voir que le firewall n’est pas activé.
L’accès à l’interface d’administration des Proxmox étant pour ma part dans un VLAN séparé avec un Firewall physique, je vais changer la règle du trafic entrant pour autoriser par défaut tout le trafic. Si vous ne souhaitez pas faire cette modification à la fin du tutoriel, je vous donne les ports à configurer pour les hôtes Proxmox.
Sélectionner Input Policy 1 et cliquer sur Edit 2.
Sélectionner ACCEPT 1 et cliquer sur OK 2.
Tout le trafic entrant est autorisé.
Maintenant que l’on a plus de risque de se couper la main sur le serveur, on va activer le Firewall, sélectionner Firewall 1 et cliquer sur le bouton Edit 2.
Cocher la case 1 pour activer le Firewall et cliquer sur OK 2.
Le Firewall est activé au niveau du Datacenter.
Avant d’aller plus loin, vérifier au niveau d’un serveur que le firewall est activé (par défaut c’est activé).
On prêt pour utiliser le Firewall au niveau des machines virtuelles.
Activer et configurer le Firewall sur machine virtuelle
On va maintenant voir comment configurer et activer le pare-feu sur une machine virtuelle dans Proxmox.
Pour illustrer ce tutoriel, on va activer l’accès SSH à une machine virtuelle avec le Firewall Proxmox.
Comme on peut le voir, le Firewall n’est pas activé par défaut.
Avant d’activer le pare-feu, il faut vérifier que la carte réseau a l’option d’activer, l’option firewall doit être à 1.
Si ce n’est pas activer, il faut cocher la case Firewall dans les paramètres de la carte.
Dans les options de la VM, aller sur Firewall / Options, sélectionner Firewall 1 et cliquer sur Edit 2.
Cocher la case 1 et cliquer sur OK 2.
Le Firewall est activé et comme on peut le voir par défaut le trafic entrant est rejeté.
Pour tester le fonctionnement, en essayant de me connecter en SSH sur la machine virtuelle, la connexion n’est pas établie avec un erreur de timed out, le firewall a fait son travail.
On va maintenant créer une règle dans le Firewall de la machine virtuelle pour autoriser les connexions SSH (22).
Aller sur Firewall 1 au niveau de la machine virtuelle et cliquer sur Add 2.
Configurer une règle pour autoriser le trafic sur le port 22 entrant 1 et cliquer sur Add 2.
Pour le tuto j’ai activé les logs sur la règle.
La règle est ajouté pour la machine virtuelle.
Cette fois ci je peux me connecter en SSH sur la machine virtuelle.
Dans la partie Log du Firewall, on retrouve la connexion.
Vous savez comment créer une règle de pare-feu pour une machine virtuelle.
Créer un modèle de règle
On va vu comment faire pour une machine virtuelle, il est possible d’optimiser la gestion des règles en créant un modèle et ensuite de l’appliquer à une modèle.
Cette gestion se fait au niveau du Datacenter.
Pour commencer, on va enregistrer la plage réseau que l’on va autoriser, au niveau du Datacenter, aller sur Firewall / Alias 1 et cliquer sur Add 2.
Nommer l’alias 1, saisir IP ou le CIDR 2 et cliquer sur Add 3.
L’Alias est créée.
Aller sur Security Group 1 et cliquer sur Create 2.
Nommer 1 le groupe et cliquer sur le bouton Create 2.
On va maintenant ajouter une règle à ce groupe, cliquer sur le bouton Add 1.
Configurer la règle 1 pour autoriser les connexions SSH en sélectionner l’alias dans le champ source puis cliquer sur Add 2 pour créer et ajouter la règle dans le groupe.
La règle est ajoutée au groupe.
Pour ajouter une règle au niveau du pare-feu d’une VM, cliquer sur Insert: Security Group 1.
Sélectionner le groupe 1 et cliquer sur Add 2.
Le groupe de règle est ajouté.
Compléments
Les ports pour les serveurs Proxmox
| Description | Protocole | Ports |
|---|---|---|
| Web interface | TCP | 8006 |
| VNC Web console | TCP, WebSocket | 5900 – 5999 |
| SPICE proxy | TCP | 3128 |
| sshd | TCP | 22 |
| rpcbind | UDP | 111 |
| corosync cluster traffic | UDP | 5405 – 5412 |
| live migration | TCP | 60000 – 60050 |
Désactiver le firewall depuis le fichier de configuration
En cas d’erreur de configuration, si vous avez perdu la main sur le serveur, il est possible désactiver le firewall depuis le fichier suivant : /etc/pve/firewall/cluster.fw en modifiant la valeur de enable : 1 à 0.
Vous savez maintenant comment utiliser le pare-feu Proxmox pour sécurisé le trafic des ordinateurs virtuels.