🔒 Proxmox VE: Настройка Брандмауэра для Защиты VM и Хоста (Часть 6)
Привет всем, кто заботится о безопасности! 👋
Мы создали VM и контейнеры, настроили автоматические бэкапы. Теперь пришло время закрыть нашу систему от внешних угроз. Встроенный в Proxmox брандмауэр позволяет управлять трафиком на двух уровнях: на уровне хоста (сам Proxmox VE) и на уровне отдельных VM/контейнеров.
🛡️ Шаг 19: Активация Брандмауэра Хоста
По умолчанию брандмауэр Proxmox отключен. Начнем с его включения на уровне всего центра данных.
- Перейдите в Datacenter (Центр данных) → Firewall (Брандмауэр).
- На вкладке Options (Опции) найдите параметр Firewall и установите его в «Yes» (Да).
- Внимание: Как только вы это сделаете, все настройки брандмауэра вступят в силу!
1. Настройка Правил Хоста (Input)
На вкладке Rules (Правила) в Datacenter мы можем разрешить доступ к нашему хосту Proxmox из внешней сети.
- Порт 8006 (Web-интерфейс): Вам нужен доступ к веб-панели управления.
- Порт 22 (SSH): Нужен для удаленного управления через командную строку.
Создайте следующие разрешающие правила (Add → Insert):
| Direction | Action | Macro (Макрос) | Interface (Интерфейс) | Comment (Комментарий) |
| IN (Входящий) | ACCEPT (Разрешить) | SSH | Доступ по SSH | |
| IN (Входящий) | ACCEPT (Разрешить) | Web-интерфейс | Доступ к 8006 |
2. Защита от Bruteforce (Rate Limit)
Чтобы защитить SSH и веб-интерфейс от подбора паролей:
- Перейдите в Datacenter → Firewall → Options.
- Найдите Rate limit и установите значение (например, 5/мин). Это блокирует IP-адреса, которые делают слишком много неудачных попыток входа за минуту.
🌐 Шаг 20: Управление Брандмауэром VM (Гостевой Уровень)
Теперь, когда сам хост защищен, можно настроить изоляцию для отдельных виртуальных машин.
1. Активация для VM
- Выберите вашу VM или контейнер (например,
ubuntu-server-01). - Перейдите в Firewall (Брандмауэр) → Options (Опции).
- Установите Firewall в «Yes» (Да).
2. Настройка Правил VM (Пример: Сервер Pi-hole)
Предположим, ваша VM (или LXC-контейнер) — это DNS-сервер Pi-hole. Ему нужно разрешить всего два порта: 53 (DNS) и, возможно, 80 (Web-интерфейс) для управления.
- Перейдите в VM → Firewall → Rules.
- Создайте разрешающие правила для входящего трафика (IN):
| Direction | Action | Port (Порт) | Protocol (Протокол) | Comment (Комментарий) |
| IN | ACCEPT | 53 | TCP/UDP | DNS-запросы |
| IN | ACCEPT | 80 | TCP | Web-интерфейс Pi-hole |
- Важно: Все, что не разрешено этими правилами, будет заблокировано (по умолчанию DROP).
3. Использование Групп Безопасности (Security Groups)
Если у вас много VM с одинаковыми правилами (например, все веб-серверы), используйте Security Groups:
- Перейдите в Datacenter → Firewall → Security Group.
- Нажмите «Add» и создайте группу (например,
web-servers). - Добавьте в эту группу правила (например, ACCEPT на Порт 80 и 443).
- На вкладке Firewall в вашей VM просто добавьте эту группу (
+ Security Group), и все правила будут применены!
Поздравляю! Ваш хост Proxmox и виртуальные машины теперь защищены на уровне ядра.
💡 Следующий Шаг: Наш курс по основам Proxmox почти завершен. Осталось настроить мониторинг ресурсов и оповещения о проблемах, чтобы всегда знать, что происходит с вашим сервером. Готовы к Части 7?
Тогда вам сюда.