Lorsque vous installez l'hyperviseur VMware ESXi, une série de services sont présents sur celui-ci, dont une partie seulement est en cours d'exécution en temps normal.
Pour autoriser et sécuriser l'accès à ces différents services, un pare-feu est pré-installé et pré-configuré sur votre hyperviseur VMware ESXi. Ce qui permet par défaut de bloquer les ports inutilisés actuellement par votre hyperviseur.

1. Gérer les services de VMware ESXi
2. Gérer les règles du pare-feu de VMware ESXi

1. Gérer les services de VMware ESXi

Pour voir la liste des services installés sur votre hyperviseur VMware ESXi et les gérer, connectez-vous à l'interface web de celui-ci, puis allez dans : Hôte -> Gérer.

Dans l'onglet "Services", vous trouverez la liste des services présents sur votre hyperviseur VMware ESXi, ansi que leur état et la règle du pare-feu qui lui est associée.
En effet, avec VMware ESXi, il est possible de gérer l'ouverture et la fermeture de certains ports du pare-feu en fonction de l'état du service associé.
Ainsi, lorsque vous arrêtez un service, le port est fermé automatiquement dans le pare-feu de VMware ESXi.

Dans la liste des services, vous trouverez notamment :

• DCUI (Interface Utilisateur de la Console Directe) : qui correspond à la console jaune et grise que vous voyez à l'écran (si un écran est branché sur votre serveur).
  Notez que cette console DCUI peut aussi être utilisée via SSH en lançant le programme du même nom (dcui).
• lwsmd (Service Active Directory) : service permettant de lier votre hyperviseur VMware ESXi à un domaine Active Directory.
• ntpd (NTP) : service permettant de synchroniser la date et l'heure de votre hyperviseur depuis un serveur NTP (Network Time Protocol) de façon à ce que tous vos hyperviseurs (le cas échéant) puissent avoir exactement la même date et heure à la seconde près.
  Ce qui permet d'éviter certaines erreurs au niveau de l'authentification par exemple. Notamment si celui-ci est lié à un domaine Active Directory.
• snmpd (Serveur SNMP) : service gérant l'envoi de notifications et permet de surveiller cet hyperviseur depuis des logiciels de monitoring
• TSM (ESXi Shell) : service permettant de gérer votre hyperviseur VMware ESXi en ligne de commandes (depuis la console DCUI, par exemple).
• TSM-SSH (SSH) : serveur SSH permettant de gérer votre hyperviseur VMware ESXi à distance en ligne de commandes (depuis un client SSH, tel que Putty) et/ou de gérer les fichiers et dossiers de celui-ci grâce au protocole SFTP (qui utilise le même port) avec un logiciel tel que WinSCP, par exemple.
  Pour en savoir plus, référez-vous à notre tutoriel : VMware ESXi 6.7 - Activer le protocole SSH.
• vmsyslogd (Serveur Syslog) : service gérant l'enregistrement des messages provenant du VMKernel et d'autres composants système. Ces logs peuvent ensuite être transférés vers un autre collecteur de logs (tels que Syslog-NG, SexiLog, ...) si vous le souhaitez.
• vxpa (Agent VMware vCenter) : permet de gérer la connexion de votre hyperviseur VMware ESXi à un serveur VMware vCenter.

Pour chaque service, vous pourrez le démarrer, l'arrêter ou le redémarrer manuellement.

Ensuite, si vous cliquez sur "Actions", vous pourrez changer la stratégie de démarrage et d'arrêt à utiliser avec tel ou tel service :

• Démarrer et arrêter avec les ports du pare-feu : si vous ouvrez les ports correspondant à ce service dans votre hyperviseur VMware ESXi, le service sera automatiquement démarré. Puis, arrêté lorsque vous fermerez les ports correspondant dans le pare-feu.
• Démarrer et arrêter avec l'hôte : le service sera automatiquement démarré au démarrage de votre serveur et arrêté lors de l'arrêt du serveur
• Démarrer et arrêter manuellement : aucun démarrage ou arrêt ne sera effectué automatiquement. Si vous souhaitez utiliser ce service, vous devrez le démarrer en cliquant sur "Démarrer".
  Ensuite, pour l'arrêter, cliquez sur "Arrêter". Notez tout de même que si vous arrêtez ou redémarrez votre serveur, ce service sera arrêté et il ne redémarrera pas automatiquement.

Pour certains services (dont "ntpd"), vous pourrez accéder à la règle correspondant dans le pare-feu en cliquant sur le lien présent dans la colonne "Règle du pare-feu".
Pour ce service "ntpd", la règle est nommée "ntpClient".

En cliquant sur ce lien, vous serez redirigé automatiquement dans la section "Mise en réseau -> Règles du pare-feu" de cette interface web et le nom de la règle souhaitée sera automatiquement indiqué dans la case de recherche de façon à ce qu'elle apparaisse directement à l'écran.

2. Gérer les règles du pare-feu de VMware ESXi

Pour gérer les règles du pare-feu de votre hyperviseur VMware ESXi, allez dans : Mise en réseau -> Règles du pare-feu.
Comme vous pouvez le voir, par défaut, plus de 40 règles sont pré-configurées. Mais une partie d'entre elles sont désactivées (grisées) par défaut.

Parmi les règles disponibles par défaut, vous trouverez notamment :

• Active Directory - Tout : permet d'autoriser la liaison de l'hyperviseur à un domaine Active Directory
• Agent VMware vCenter : concerne la gestion à distance de votre hyperviseur VMware ESXi depuis un serveur VMware vCenter Server
• Client DHCP : permet d'autoriser l'envoi de message DHCP sur le réseau pour que votre hyperviseur VMware ESXi puisse obtenir une adresse IPv4.
• Client DNS : permet d'autoriser la résolution de noms de domaine (DNS) depuis un serveur DNS présent sur votre réseau ou sur Internet
• Client FTP : permet d'accéder à un serveur FTP depuis votre hyperviseur VMware ESXi
• Client NFS : permet d'accéder à un serveur NFS depuis votre hyperviseur VMware ESXi
• Client NTP : permet à votre hyperviseur VMware ESXi de contacter un serveur NTP pour synchroniser sa date et son heure depuis celui-ci.
• Client SSH : permet à votre hyperviseur de se connecter à un serveur SSH
• Serveur SNMP : autoriser la surveillance de votre hyperviseur depuis des logiciels de monitoring
• Serveur SSH : vous permet de gérer votre hyperviseur VMware ESXi à distance en ligne de commande via le protocole SSH.
• etc

Pour modifier une règle de ce pare-feu, sélectionnez-la et cliquez sur "Modifier les paramètres".

Dans la fenêtre "Paramètres du pare-feu" qui apparait, vous pourrez choisir entre :

• Toutes les connexions à partir de toutes les adresses IP : ce qui permet d'autoriser par défaut n'importe qui à se connecter sur le ou les ports concernés par cette règle.
• Autoriser des connexions uniquement à partir des réseaux suivants : ce qui permet de limiter l'accès aux ports concernés par cette règle à certains réseaux et/ou à certains ordinateurs / serveurs spécifiques.
  Dans le cas de la règle "Serveur SSH", vous pourriez donc autoriser la gestion à distance de votre hyperviseur via SSH depuis uniquement certains ordinateurs pour éviter les attaques de pirates (par exemple).

Pour limiter l'accès aux ports concernés par cette règle du pare-feu, sélectionnez "Autoriser des connexions uniquement à partir des réseaux suivants" et indiquez le ou les réseaux et/ou l'adresse IP que vous souhaitez autoriser.

Voici quelques exemples :

• 10.0.0.0/8 : permet d'autoriser les ordinateurs et/ou serveurs dont l'ID réseau est 10.0.0.0 et le masque de sous-réseau est 255.0.0.0 (ou "/8" en notation CIDR).
• 192.168.1.0/24 : permet d'autoriser les ordinateurs et/ou serveurs dont l'ID réseau est 192.168.1.0 et le masque de sous-réseau est 255.255.255.0 (ou "/24" en notation CIDR).
• 10.0.0.4 : pour autoriser uniquement l'ordinateur ou serveur dont l'adresse IP est 10.0.0.4 à se connecter aux ports concernés sur votre hyperviseur.

Comme indiqué précédemment, certaines règles de ce pare-feu sont activées et d'autres non. Celles affichées en noir sont activées et celles affichées en gris sont désactivées.
Pour chaque règle de ce pare-feu, vous pourrez cliquer sur "Actions" pour :

• Activer ou désactiver celle-ci
• modifier les paramètres de celle-ci

Lorsqu'un service est associé par VMware ESXi à une règle spécifique de son pare-feu, vous pourrez aussi accéder au sous-menu "Service" du menu "Actions".
Dans ce cas, vous pourrez démarrer, arrêter ou redémarrer le service associé à celle-ci.

Puis, dans le sous-menu "Stratégie", vous pourrez choisir si le service associé doit démarrer et s'arrêter automatiquement en fonction de cette règle du pare-feu, du démarrage et arrêt de l'hôte ou manuellement.
Pour plus d'informations concernant ces 3 possibilités, référez-vous aux explications données dans l'étape précédente de ce tutoriel.