Mudanças entre as edições de "Configurando Firewall do ProxmoxVE"
| (2 revisões intermediárias pelo mesmo usuário não estão sendo mostradas) | |||
| Linha 12: | Linha 12: | ||
Altere as três policies '''Input''', '''Output''' e '''Forward''' para '''ACCEPT''', pois iremos filtrar e dropar tudo mais a frente. | Altere as três policies '''Input''', '''Output''' e '''Forward''' para '''ACCEPT''', pois iremos filtrar e dropar tudo mais a frente. | ||
| − | + | [[Arquivo:Firewall-input.png|nenhum|miniaturadaimagem|516x516px]] | |
| − | '''2 - Acesse o submenu Security Group'''. | + | '''2 - Acesse o submenu Security Group'''. Ao acessar o '''Security Group''' procure pelo menu '''Group''' crie um novo perfil chamado '''''gerencia''''', adicione também uma descrição para facilitar a identificação futura. |
| − | + | [[Arquivo:Security-group.png|nenhum|miniaturadaimagem|516x516px]] | |
| − | Ao acessar o '''Security Group''' procure pelo menu '''Group''' crie um novo perfil chamado '''''gerencia''''', adicione também uma descrição para facilitar a identificação futura. | ||
| − | |||
'''3 - Crie as novas Regras definindo o Input.''' | '''3 - Crie as novas Regras definindo o Input.''' | ||
Agora com o novo Group criado, selecione ele e vá até o menu '''Rules''' ao lado para poder criar todas as regras. | Agora com o novo Group criado, selecione ele e vá até o menu '''Rules''' ao lado para poder criar todas as regras. | ||
| − | + | [[Arquivo:Rules-security.png|nenhum|miniaturadaimagem|529x529px]] | |
Inicialmente criaremos duas regras e será necessário definir quais '''IPs/Prefixos''', '''Portas''', '''Protocolo''' etc serão permitidos, em nosso cenário iremos usar da maneira demonstrada abaixo. | Inicialmente criaremos duas regras e será necessário definir quais '''IPs/Prefixos''', '''Portas''', '''Protocolo''' etc serão permitidos, em nosso cenário iremos usar da maneira demonstrada abaixo. | ||
| Linha 34: | Linha 32: | ||
'''Comment''': Insira um comentário explicando o que essa regra faz | '''Comment''': Insira um comentário explicando o que essa regra faz | ||
'''Log level''': nolog (você pode alterar para monitorar) | '''Log level''': nolog (você pode alterar para monitorar) | ||
| + | [[Arquivo:Rule-Input.png|nenhum|miniaturadaimagem|523x523px]] | ||
'''Regra 01 (Permitindo o ICMP ao servidor para monitoramento e troubleshooting)''' | '''Regra 01 (Permitindo o ICMP ao servidor para monitoramento e troubleshooting)''' | ||
'''Direction''': in | '''Direction''': in | ||
| Linha 43: | Linha 42: | ||
'''Comment''': Insira um comentário explicando o que essa regra faz | '''Comment''': Insira um comentário explicando o que essa regra faz | ||
'''Log level''': nolog (você pode alterar para monitorar) | '''Log level''': nolog (você pode alterar para monitorar) | ||
| + | [[Arquivo:Rule-ICMP.png|nenhum|miniaturadaimagem|533x533px]] | ||
'''4 - Acesse o menu do PVE e navegue até o menu Firewall.''' | '''4 - Acesse o menu do PVE e navegue até o menu Firewall.''' | ||
| Linha 56: | Linha 56: | ||
'''Comment''': Insira um comentário explicando o que essa regra faz | '''Comment''': Insira um comentário explicando o que essa regra faz | ||
'''Log level''': nolog (você pode alterar para monitorar) | '''Log level''': nolog (você pode alterar para monitorar) | ||
| + | [[Arquivo:Drop.png|nenhum|miniaturadaimagem|544x544px]] | ||
| + | |||
'''Regra Security Group 2''' | '''Regra Security Group 2''' | ||
| Linha 64: | Linha 66: | ||
* 0 é o type group com Action gerencia | * 0 é o type group com Action gerencia | ||
* 1 Type in com Action DROP | * 1 Type in com Action DROP | ||
| + | [[Arquivo:Ordem.png|nenhum|miniaturadaimagem|407x407px]] | ||
| + | |||
Se tudo estiver ok, habilite as novas regras criadas clicando no box '''On'''. | Se tudo estiver ok, habilite as novas regras criadas clicando no box '''On'''. | ||
| Linha 69: | Linha 73: | ||
5.1 - No submenu '''Options''' você deve habilitar o Firewall clicando duas vezes em cima e marcando o box. Por enquanto, as regras ainda não terão efeito pelo motivo explicado anteriormente da ordem de Firewall do Proxmox. | 5.1 - No submenu '''Options''' você deve habilitar o Firewall clicando duas vezes em cima e marcando o box. Por enquanto, as regras ainda não terão efeito pelo motivo explicado anteriormente da ordem de Firewall do Proxmox. | ||
| − | + | [[Arquivo:Ordem-firewall.png|nenhum|miniaturadaimagem|578x578px]] | |
5.2 - Agora volte ao menu '''Firewall''' do '''Datacenter''' e também habilite o Firewall marcando o box, depois realizar a ação o Firewall estará habilitado e funcionando em todos os níveis de '''Datacenter''' e '''PVE'''. | 5.2 - Agora volte ao menu '''Firewall''' do '''Datacenter''' e também habilite o Firewall marcando o box, depois realizar a ação o Firewall estará habilitado e funcionando em todos os níveis de '''Datacenter''' e '''PVE'''. | ||
| + | [[Arquivo:Menu-firewall-datacenter.png|nenhum|miniaturadaimagem|582x582px]] | ||
=== Validando as configurações === | === Validando as configurações === | ||
| Linha 90: | Linha 95: | ||
* closed: porta fechada | * closed: porta fechada | ||
* filtered: bloqueada por firewall | * filtered: bloqueada por firewall | ||
| + | [[Arquivo:Nc-open.png|nenhum|miniaturadaimagem]] | ||
| + | [[Arquivo:Nc-timeout.png|nenhum|miniaturadaimagem]] | ||
==== Windows ==== | ==== Windows ==== | ||
| Linha 107: | Linha 114: | ||
'''Autor''': [[Usuário:Erickandrade|Erick Andrade]] | '''Autor''': [[Usuário:Erickandrade|Erick Andrade]] | ||
| + | [[Categoria:Infraestrutura]] | ||
| + | [[Categoria:Segurança]] | ||
| + | [[Categoria:ProxmoxVE]] | ||
Edição atual tal como às 13h52min de 2 de junho de 2026
Diversas empresas tem o hábito de utilizar o Proxmox (ou outros virtualizadores) com IP Público e não possuem políticas de segurança para restrição de acesso, muitas por falta de conhecimento e outras pela desorganização da gestão. Independente do motivo, esse tutorial tem o único intuito de incentivar e ensinar os primeiros passos de muitos para que as empresas possam tornar os seus ambientes mais seguros.
Firewall do Proxmox
O Firewall do Proxmox trabalha em três níveis, Datacenter > PVE > Host. Para que as regras funcionem nos Hosts ou no PVE é obrigatório que ele esteja configurado a nível de Datacenter.
Em nosso cenário o intuito é a configuração para proteger o PVE, então trabalharemos nos níveis de Datacenter e PVE. Posteriormente você pode explorar as opções de configuração em grupos de políticas ou regras específicas que atendam as necessidades das Máquinas Virtuais e Containers.
Observação: Apesar do tutorial mostrar apenas IPv4 nas configurações, o Firewall do PVE é TOTALMENTE compatível com o IPv6 e você DEVE implementar ele em sua infraestrutura.
Iniciando a Configuração
1 - Acesse o Menu Firewall > Options.
Altere as três policies Input, Output e Forward para ACCEPT, pois iremos filtrar e dropar tudo mais a frente.
2 - Acesse o submenu Security Group. Ao acessar o Security Group procure pelo menu Group crie um novo perfil chamado gerencia, adicione também uma descrição para facilitar a identificação futura.
3 - Crie as novas Regras definindo o Input.
Agora com o novo Group criado, selecione ele e vá até o menu Rules ao lado para poder criar todas as regras.
Inicialmente criaremos duas regras e será necessário definir quais IPs/Prefixos, Portas, Protocolo etc serão permitidos, em nosso cenário iremos usar da maneira demonstrada abaixo.
Lembrando que a ordem de criação das regras é importante para que seja lida da maneira correta pelo firewall. Sempre que você adicionar uma nova regras no Firewall do Proxmox, ela irá saltar automaticamente para o topo.
Regra 02 (Permitindo acesso de Gerencia e monitoramento ao PVE)
Direction: in Action: ACCEPT Enable: marcado Protocol: tcp Source: 192.0.2.10,203.0.113.0/24 (IPs ou Prefixos IPv4/IPv6 permitidos da sua rede) DEs. port.: 8006,22,5900:5999,10050,10051 (porta de acesso webm, SSH, VNC e Zabbix) Comment: Insira um comentário explicando o que essa regra faz Log level: nolog (você pode alterar para monitorar)
Regra 01 (Permitindo o ICMP ao servidor para monitoramento e troubleshooting)
Direction: in Action: ACCEPT Enable: marcado Protocol: icmp Source: 192.0.2.10,203.0.113.0/24 (IPs ou Prefixos IPv4/IPv6 permitidos da sua rede) ICMP type: echo-reply Comment: Insira um comentário explicando o que essa regra faz Log level: nolog (você pode alterar para monitorar)
4 - Acesse o menu do PVE e navegue até o menu Firewall.
Aqui será preciso ter MUITA atenção para criar a regra de DROP e adicionar o grupo que criamos no passo 2. É aqui que a mágica acontece!
Clique em ADD e adicione uma nova regra dropando tudo, mas ainda NÃO marque ela como Enable.
Regra DROP 01
Direction: in Action: DROP Enable: desmarcado Protocol: icmp Comment: Insira um comentário explicando o que essa regra faz Log level: nolog (você pode alterar para monitorar)
Regra Security Group 2
Clique em Insert: Security Group, na nova janela que irá abrir configure igual o exemplo abaixo.
Security Group: gerencia Enable: marcado Comment: Adicione um comentário explicando o que essa regra faz
- 0 é o type group com Action gerencia
- 1 Type in com Action DROP
Se tudo estiver ok, habilite as novas regras criadas clicando no box On.
5 - Ainda no menu Firewall do PVE vá até o submenu Options.
5.1 - No submenu Options você deve habilitar o Firewall clicando duas vezes em cima e marcando o box. Por enquanto, as regras ainda não terão efeito pelo motivo explicado anteriormente da ordem de Firewall do Proxmox.
5.2 - Agora volte ao menu Firewall do Datacenter e também habilite o Firewall marcando o box, depois realizar a ação o Firewall estará habilitado e funcionando em todos os níveis de Datacenter e PVE.
Validando as configurações
Logo depois da implementação é importante verificar se o Firewall está atuando corretamente na proteção do Servidor Proxmox, para isso iremos realizar alguns testes utilizando o terminal do Linux e Windows. Preste bem atenção na sintaxe dos comandos para executar corretamente.
Linux
Você pode utilizar o nc (netcat) ou nmap para verificar se as portas estão fechadas.
Netcat IPv4
nc -vz <IP-aqui> <Porta-aqui>
Netcat IPv6
nc -6 -vz <IP-aqui> <Porta-aqui>
Nmap IPv4
nmap -p <Porta-aqui> <IP-aqui>
Nmap IPv6
nmap -6 -p <Porta-aqui> <IP-aqui>
Resultado típico do Nmap:
- open: porta aberta
- closed: porta fechada
- filtered: bloqueada por firewall
Windows
Já no ambiente Windows nós temos a alternativa do PowerShell.
PowerShell IPv4
Test-NetConnection <IP-aqui> -Port <Porta-aqui>
PowerShell IPv6
Test-NetConnection <IP-aqui> -Port <Porta-aqui>
Resultado típico:
- TcpTestSucceeded : True: porta aberta
- False: porta fechada ou filtrada
Referências:
Documentação ProxmoxVE: https://pve.proxmox.com/pve-docs-7/chapter-pve-firewall.html
Autor: Erick Andrade