Configuration du pare-feu
Configurez les règles de pare-feu Proxmox VE au niveau du datacenter, du nœud et de la VM.
Configuration du pare-feu
Proxmox VE inclut un pare-feu stateful intégré qui opère à trois niveaux : datacenter, nœud et VM/conteneur.
Niveaux du pare-feu
| Niveau | Portée | Emplacement |
|---|---|---|
| Datacenter | Tous les nœuds et VMs | Datacenter → Firewall |
| Node | Un seul nœud (pare-feu hôte) | Node → Firewall |
| VM/CT | Une seule VM ou conteneur | VM → Firewall |
Les règles sont évaluées du plus spécifique (VM) au moins spécifique (Datacenter). Le pare-feu VM doit être activé dans VM → Firewall → Options.
Activer le pare-feu
Activer le pare-feu pour une VM :
- Allez dans VM → Firewall → Options
- Réglez Firewall sur
Yes - Cliquez sur Save
Ajouter des règles
Allez dans VM → Firewall → Add :
| Champ | Description |
|---|---|
| Direction | in (entrant) ou out (sortant) |
| Action | ACCEPT, DROP ou REJECT |
| Protocol | tcp, udp, icmp, etc. |
| Source/Dest | IP, CIDR ou groupe de sécurité |
| Dest. port | Numéro de port ou plage (ex. : 80, 443, 8000-9000) |
Règles courantes
Autoriser SSH depuis une IP spécifique :
Direction: in
Action: ACCEPT
Protocol: TCP
Source: 192.168.1.0/24
Dest. port: 22Autoriser HTTPS depuis n’importe où :
Direction: in
Action: ACCEPT
Protocol: TCP
Dest. port: 443Groupes de sécurité
Les groupes de sécurité sont des ensembles de règles réutilisables. Créez-les dans Datacenter → Firewall → Security Groups et appliquez-les à plusieurs VMs.
# Créer un groupe de sécurité via CLI
pvesh create /cluster/firewall/groups --group webservers --comment "Web server rules"
pvesh create /cluster/firewall/groups/webservers/rules --type in --action ACCEPT --proto tcp --dport 80
pvesh create /cluster/firewall/groups/webservers/rules --type in --action ACCEPT --proto tcp --dport 443Ensembles d’IP
Les ensembles d’IP sont des listes nommées d’IP/CIDR. Créez-les dans Datacenter → Firewall → IP Sets :
management-ips: 10.0.0.0/8, 192.168.1.5Référencez-les dans les règles avec +management-ips dans le champ source/destination.
Politique par défaut
Définissez la politique par défaut dans VM → Firewall → Options :
- Default policy in :
DROP(recommandé, tout bloquer sauf ce qui est autorisé) - Default policy out :
ACCEPT(autoriser tout le trafic sortant par défaut)
Pare-feu au niveau du nœud
Le pare-feu de nœud protège l’interface de gestion Proxmox (port 8006) et SSH (port 22). Cloud-PVE préconfigure les règles de pare-feu des nœuds. Contactez le support avant de les modifier.