Optimierung Firewall

Die Firewall in Proxmox ve hat drei Ebenen:

• Datacenter-Firewall
• Node-Firewall
• VM-Firewall

Bei der initialen Installation des ersten Proxmox ve Nodes, ist besondere Vorsicht im Umgang mit der Datacenter-Firewall notwendig. Damit ein Proxmox Node für Admins erreichbar ist, muss dieser auf den Ports 22 für SSH und Port 8006, für die Proxmox-GUI erreichbar sein. Wird die Datacenter-Firewall aktiviert bevor eine Regel dafür erstellt wurde, damit diese beiden Ports erreichbar bleiben, ist kein Zugriff mehr auf den Server möglich und das Rescure System bei Hetzner kann dies nur noch mit entsprechendem Aufwand über Umwege richten. Weil dies den Proxmox ve Entwicklern bekannt ist, wurde bei der Datacenter-Firewall unabhängig von den angelegten Regel eine Feste Ausnahme eingebaut, damit diese Ports offen bleiben, auf den lokalen IP-Adressen des Proxmox-Nodes. Bei einer Installation, wie hier, hat der Proxmox-Node aber keine lokalen IP-Adressen, sondern verwendet öffentliche IP-Adressen. Deshalb greift die diese gut gemeinte Schutzfunktion bei diesem Setup nicht. So sehen die Einstellungen der Datacenter-Firewall aus, bevor diese aktiviert wird und so müssen diese im Betrieb auch bleiben, um ein Aussperren zu vermeiden:

Es ist zu empfehlen dauerhaft keine weiteren Ports zu öffnen.