# Proxmox VM Firewall: Mikrosegmentierung im virtuellen Netz

TL;DR / Management Summary Ein Hacker, der in eine VM eingebrochen ist, versucht sofort, sich im LAN auszubreiten (Lateral Movement). Die Proxmox Firewall verhindert dies durch Mikrosegmentierung: Jede VM erhält ihre eigene virtuelle Brandmauer auf der Bridge-Ebene. Ein Senior Admin nutzt Sicherheitsgruppen zur Standardisierung und Makros für typische Dienste (Web, DNS), um das Regelwerk auch bei hunderten VMs fehlerfrei und wartbar zu halten.

# 1. Die Firewall-Hierarchie

Schutz in Schichten.

Die Proxmox-Firewall arbeitet auf drei Ebenen:

  1. Datacenter: Globale Einstellungen und IP-Sets (Artikel 709).
  2. Node: Schützt den Host selbst (Management-Ports 8006, 22).
  3. VM / Container: Schützt den Gast. Die Regeln greifen am tap oder veth Interface des Hosts.

# 2. Einrichtung in der Praxis

Vom Standard-Block zum Erlaubnis.

# Schritt 1: Firewall an der VM aktivieren

VM -> Firewall -> Options.

# Schritt 2: Regeln erstellen

VM -> Firewall -> Add.

# 3. Deep Dive: Sicherheitsgruppen (Security Groups)

Vorlagen für den Cluster.

Anstatt Regeln für jede VM manuell zu pflegen, nutzen wir Gruppen.

  1. Datacenter -> Firewall -> Security Groups -> Create.
  2. Name: WEB_SERVER_STACK.
  3. Regeln: HTTP, HTTPS, SSH-Admin.
  4. Zuweisung: Gehen Sie zur VM -> Firewall -> Insert: Security Group.

# 4. Day-2 Operations: Logging & Diagnostics

Wer klopft an die Tür?

Wenn eine Applikation nicht funktioniert:

# Live-Ansicht der Drops für eine spezifische VM ID
tail -f /var/log/pve-firewall.log | grep "vm100"

# 5. Troubleshooting & “War Stories”

Wenn der Paketfilter zum Hindernis wird.

# Top 3 Fehlerbilder

  1. Symptom: VM verliert Verbindung nach Migration (Artikel 672).

    • Ursache: Die Firewall-Regel ist an ein spezifisches Interface-Namen gebunden, der am Ziel-Host anders ist.
    • Lösung: Nutzen Sie net+ Wildcards oder stellen Sie sicher, dass alle Hosts die gleiche Bridge-Konfiguration haben.

  2. Symptom: TCP-Sessions brechen sporadisch ab.

    • Ursache: Asymmetrisches Routing (Artikel 571). Die Firewall sieht nur den Hinweg, aber nicht den Rückweg und droppt die Antwort als “invalid state”.

  3. Symptom: pve-firewall Dienst verbraucht 100% CPU.

    • Ursache: Zu viele feingranulare Regeln auf einem Host mit tausenden Verbindungen pro Sekunde.

# “War Story”: Der “Zombie”-Angriff

Ein Admin bemerkte eine massive Last auf seinem Core-Switch. Die Entdeckung: Eine VM in seinem Cluster war mit einem Botnet-Client infiziert und scannte das interne Netzwerk nach offenen SMB-Shares. Die Rettung: Da die Proxmox Firewall aktiv war und wir eine strikte Output-Policy (REJECT) für das Client-VLAN hatten, konnten die Pakete die VM gar nicht erst verlassen. Das Log der Firewall zeigte uns sofort die IP der infizierten VM, bevor der Angriff den ersten physischen Switch erreichte. Lehre: Eine VM-Firewall schützt nicht nur die VM selbst, sondern den gesamten Cluster vor “bösartigen Mitbewohnern”.

# 6. Monitoring & Reporting

Regel-Audits.

# IP-Sets auditieren

Nutzen Sie IP-Sets (z.B. Blacklist), die automatisch via OPNsense (Artikel 555) oder API aktualisiert werden.

# 7. Fazit & Empfehlung

Die Proxmox Firewall ist das Skalpell für Ihre Netzwerksicherheit.

# Anhang: Cheatsheet (Firewall Macros)

Makro Dienst Port / Protokoll
HTTP Web 80/TCP
HTTPS Web Secure 443/TCP
SSH Management 22/TCP
DNS Name Service 53/UDP+TCP
RDP Windows Remote 3389/TCP

# Referenzen