Configurer le pare-feu (firewall) Proxmox pour isoler vos VMs efficacement
La sécurité est un enjeu majeur en virtualisation. Avec Proxmox VE, vous disposez d’un pare-feu intégré, puissant et configurable par datacenter, nœud, ou machine virtuelle (VM). Ce système de firewall permet d’isoler vos VMs, filtrer le trafic réseau et protéger votre infrastructure des accès non autorisés.
Dans cet article, découvrez comment configurer le pare-feu Proxmox VE, les bonnes pratiques d’isolation, et les règles essentielles à appliquer pour renforcer votre sécurité réseau.
Pourquoi utiliser le firewall intégré de Proxmox VE ?
Bloquer les communications entre VMs (isolation réseau)
Filtrer les accès entrants/sortants vers l’extérieur
Éviter la propagation d’attaques internes
Réduire les risques liés aux erreurs de configuration réseau
Proxmox propose un firewall par interface virtuelle (vNIC), ce qui permet une granularité fine et une isolation par VM ou groupe.
Prérequis
Avoir une infrastructure Proxmox VE fonctionnelle
Activer le module de firewall sur le cluster
S’assurer que les VMs utilisent des interfaces bridgées (ex :
vmbr0)
Activer le firewall dans Proxmox
1. Activer globalement
Dans l’interface Web, allez dans Datacenter > Firewall.
Activez le firewall global et les groupes de règles.
2. Activer par nœud
Allez dans Node > Firewall
Cochez “Enable” pour activer le pare-feu sur ce nœud.
3. Activer pour chaque VM
Sélectionnez une VM > onglet Firewall
Cochez “Enable” pour cette VM
Astuce : pensez à tester en mode “log only” avant de bloquer activement le trafic.
Ajouter des règles de sécurité
Proxmox permet de créer des groupes de règles réutilisables (par exemple : HTTP, SSH, DNS) et de les appliquer par VM ou au niveau du datacenter.
Exemple de règle :
| Direction | Action | Interface | Protocole | Port | Source/Destination |
|---|---|---|---|---|---|
| IN | ACCEPT | eth0 | TCP | 22 | 192.168.1.100 |
| IN | DROP | * | ALL | * | 0.0.0.0/0 |
Bonnes pratiques :
N’autoriser que les ports nécessaires (SSH, HTTP, HTTPS…)
Interdire le trafic inter-VM sauf si nécessaire
Activer les logs pour surveiller les accès suspects
Groupes de règles et macros utiles
Proxmox inclut des macros prédéfinies pour simplifier la gestion :
SSH→ port 22HTTP→ port 80HTTPS→ port 443DNS→ port 53PING→ ICMP
Ces macros accélèrent la mise en place de politiques réseau cohérentes.
Exemple d’isolation VM
Objectif : isoler une VM de test pour éviter toute communication sortante sauf HTTP/HTTPS.
IN ACCEPT TCP dport 80,443 source 0.0.0.0/0
OUT DROP ALL * destination 0.0.0.0/0
👉 Résultat : la VM peut naviguer sur Internet, mais ne peut rien initier vers d’autres IP internes.
Supervision et audit
Activez les logs dans les règles pour suivre le trafic bloqué
Utilisez des outils comme Syslog, Grafana ou Proxmox metrics pour une vue d’ensemble
Pensez à sauvegarder les configurations régulièrement
Conclusion
Le pare-feu intégré de Proxmox VE est une solution robuste pour sécuriser, isoler et filtrer les communications entre vos machines virtuelles. Grâce à une interface intuitive et des options granulaires, vous pouvez déployer des politiques de sécurité efficaces sans complexité excessive.
En appliquant les bonnes pratiques et en monitorant vos règles, vous améliorez la cybersécurité de votre infrastructure virtualisée.
Tu pourrais aussi aimer
Proxmox Backup Server 4