Как изменить порт по умолчанию Proxmox?

Proxmox VE использует порт веб-интерфейса по умолчанию, который многие администраторы хотят изменить для безопасности или удобства. Это руководство объясняет роль порта по умолчанию и показывает четыре простых способа его обновить. Узнайте, как защитить свою конфигурацию шаг за шагом.

download-icon
Скачайте Бесплатно
Для ВМ, ОС, БД, файлов, NAS и т.д.
mavis-yang

Обновлено Mavis Yang 2026/07/08

Оглавление
  • Требования к портам Proxmox VE

  • Какой порт Proxmox используется по умолчанию?

  • Влияние портов по умолчанию на безопасность

  • Как изменение порта влияет на кластер

  • Способ 1. Как изменить порт веб-консоли Proxmox по умолчанию с помощью перенаправления iptables?

  • Способ 2. Как изменить порт веб-консоли Proxmox по умолчанию через обратный прокси nginx?

  • Способ 3. Как изменить порт веб-консоли Proxmox по умолчанию прямым редактированием конфигурационных файлов?

  • Способ 4. Как изменить порт веб-консоли Proxmox по умолчанию изменением исходного кода (не рекомендуется)?

  • Vinchin — корпоративное решение для резервного копирования вашей виртуализированной инфраструктуры

  • Часто задаваемые вопросы об изменении порта Proxmox по умолчанию

  • Заключение

Proxmox VE — это мощная open-source платформа для управления виртуальными машинами и контейнерами. Ее веб-интерфейс управления упрощает повседневные задачи для ИТ-администраторов. Но задумывались ли вы, почему после IP-адреса сервера всегда нужно указывать :8006? Или, возможно, вы хотите изменить этот порт по умолчанию для повышения безопасности или удобства? В этом руководстве мы рассмотрим, что такое порт Proxmox по умолчанию, почему он важен для вашей конфигурации, как безопасно изменить его и что еще нужно учитывать.

Требования к портам Proxmox VE

Перед внесением изменений в сетевые настройки или правила firewall в Proxmox VE полезно понимать, какие порты наиболее важны. Каждая служба Proxmox прослушивает определенные порты, которые обеспечивают связь между узлами, системами хранения и пользователями.

Основной инструмент управления — веб-интерфейс — по умолчанию использует выделенный порт с HTTPS-шифрованием. Другие службы используют собственные порты: SSH предоставляет доступ к shell; VNC и SPICE отвечают за графические консоли; Corosync управляет связью кластера; NFS использует свой стандартный порт, если включен.

Согласно официальной документации, Proxmox VE использует следующие ключевые порты:

  • 8006 (TCP): веб-интерфейс и REST API через HTTPS

  • 22 (TCP): SSH-доступ для входа в shell и синхронизации кластера

  • 5900-5999 (TCP): сеансы VNC-консоли для каждой ВМ

  • 3128 (TCP): SPICE proxy для графической консоли

  • 5404-5405 (UDP): связь кластера Corosync (требуется поддержка multicast)

  • 111 (TCP/UDP): NFS-сервер, если используется

Каждый сеанс консоли ВМ получает собственный динамический порт VNC/SPICE в этих диапазонах. Если вы используете кластер или открываете узел за пределами защищенной LAN, понимание этих деталей поможет правильно настроить firewall и избежать случайных простоев.

Какой порт Proxmox используется по умолчанию?

По умолчанию веб-интерфейс Proxmox VE прослушивает порт 8006 и сразу использует HTTPS-шифрование. Для подключения из браузера или API-клиента введите:

https://your-proxmox-ip:8006

Этот нестандартный порт помогает избежать конфликтов с обычными веб-серверами, которые используют 443 (HTTPS) или 80 (HTTP). HTTPS обеспечивает шифрование учетных данных и действий при передаче.

В кластерах с несколькими узлами веб-интерфейс каждого узла также использует порт 8006, если он не был изменен вручную. REST API использует тот же номер порта.

Почему не использовать 443, как большинство защищенных веб-служб? Многие администраторы устанавливают другие приложения рядом с Proxmox VE, а уникальный порт предотвращает случайное пересечение с сайтами или панелями, работающими на стандартных HTTPS-портах.

Но помните: скрытие портала управления за нестандартным портом не обеспечивает реальную защиту от злоумышленников, которые широко сканируют сети, включая инструменты вроде Shodan, специально ищущие открытые endpoints 8006 по всему миру.

Влияние портов по умолчанию на безопасность

Перенос интерфейса управления с известного порта может снизить количество автоматических сканирований, но не остановит целенаправленных злоумышленников, которые умеют быстро находить открытые службы.

Порт 8006 широко известен как порт установок Proxmox VE; поисковые системы вроде Shodan ежедневно индексируют тысячи таких endpoints. Полагаться только на “security through obscurity” небезопасно.

Для реального усиления защиты:

  • Сочетайте пользовательские порты с надежными паролями.

  • Используйте двухфакторную аутентификацию, где это возможно.

  • Ограничьте доступ на уровне firewall, чтобы к порталу администратора могли обращаться только доверенные IP-адреса.

  • Рассмотрите fail2ban или аналогичные инструменты для блокировки повторных неудачных входов.

  • Включите геоблокировку, если глобальный удаленный доступ не требуется.

  • Используйте аутентификацию по клиентским сертификатам, если она поддерживается в вашей среде.

Также учтите: некоторые программные пакеты могут использовать альтернативные распространенные порты, например 8080 или даже 443, поэтому перед назначением новых значений проверьте отсутствие конфликтов с другими приложениями, такими как Graylog или Octoprint.

Как изменение порта влияет на кластер

Если у вас один узел, изменение порта веб-интерфейса влияет только на локальные подключения через браузер или API. В кластерных средах, где несколько узлов взаимодействуют между собой, важно, чтобы все администраторы знали правильную комбинацию адреса и порта для каждого узла при прямом входе через браузер или автоматизированные скрипты.

Синхронизация кластера в основном зависит от UDP-трафика Corosync через порты 5404-5405, а не от HTTP/S-трафика через 8006. Но некоторые скрипты и инструменты могут ожидать значения по умолчанию, если им не указать другое. Поэтому всегда обновляйте документацию для команды при изменениях на нескольких хостах.

Способ 1. Как изменить порт веб-консоли Proxmox по умолчанию с помощью перенаправления iptables?

Этот подход оставляет Proxmox внутренне прослушивать стандартный порт, но прозрачно перенаправляет другой внешний порт, часто 443, на него с помощью правил iptables на уровне ОС. Это означает, что пользователи могут просто открыть https://your-proxmox-ip без ввода :8006, а внутренняя логика остается без изменений.

Перед началом:

1. Убедитесь, что на этом хосте никакая другая служба уже не использует TCP/443.

2. Создайте резервную копию текущих правил iptables (iptables-save > /root/iptables-backup.txt).

Далее выполните следующие шаги:

1. Откройте SSH-сеанс или локальное окно терминала на сервере.

2. Перенаправьте входящий TCP/443-трафик на TCP/8006:

   iptables -t nat -A PREROUTING -p tcp --dport 443 -j REDIRECT --to-port 8006

Для IPv6-адресов:

   ip6tables -t nat -A PREROUTING -p tcp --dport 443 -j REDIRECT --to-port 8006

3. Чтобы эти правила сохранялись после перезагрузки:

   apt-get install iptables-persistent netfilter-persistent
   netfilter-persistent save

После применения этих команд:

  • Панель управления будет доступна по адресу https://your-proxmox-ip.

Однако это НЕ закрывает прямой доступ через :8006. Чтобы ограничить нежелательные подключения:

ufw deny 8006/tcp && ufw reload

Или явно ограничьте разрешенные IP-адреса через iptables:

iptables -A INPUT -p tcp --dport 8006 ! -s <trusted-IP-or-subnet> -j DROP

Всегда проверяйте подключение перед выходом из системы. Держите прямой консольный сеанс открытым, пока не убедитесь, что все работает.

Способ 2. Как изменить порт веб-консоли Proxmox по умолчанию через обратный прокси nginx?

Для большего контроля, включая SSL-сертификаты от доверенных центров сертификации, можно разместить nginx как обратный прокси перед pveproxy:

Сначала убедитесь, что другая служба не использует TCP/443 локально.

1. Установите nginx:

    apt-get install nginx

2. Удалите конфигурации сайта по умолчанию:

    rm /etc/nginx/sites-enabled/default || true
    rm /etc/nginx/sites-available/default || true

3. Создайте /etc/nginx/sites-available/proxmgr со следующим содержимым:

    server {
        listen 443 ssl;
        server_name proxmox.example.com;

        # Используйте сертификаты Let's Encrypt, если они доступны.
        ssl_certificate /etc/letsencrypt/live/proxmox.example.com/fullchain.pem;
        ssl_certificate_key /etc/letsencrypt/live/proxmox.example.com/privkey.pem;

        location / {
            proxy_pass https://127.0.0.1:8006;
            proxy_set_header Host $host;
            proxy_set_header X-Real-IP $remote_addr;
            proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
            proxy_set_header X-Forwarded-Proto $scheme;
            proxy_http_version 1.1;
            proxy_set_header Upgrade $http_upgrade;
            proxy_set_header Connection "upgrade";
            proxy_buffering off;
            client_max_body_size 0; # Настройте при загрузке крупных ISO/резервных копий.
            proxy_connect_timeout 3600s;
            proxy_read_timeout    3600s;
            send_timeout          3600s;

            # Избегайте ошибок проверки SSL внутри, если pveproxy использует самоподписанный сертификат:
            proxy_ssl_verify off;
        }
    }

4. Включите новую конфигурацию и перезапустите nginx:

    ln -s /etc/nginx/sites-available/proxmgr /etc/nginx/sites-enabled/
    systemctl restart nginx

5. Ограничьте pveproxy, чтобы напрямую подключаться мог только localhost, отредактировав /etc/default/pveproxy:

     ALLOW_FROM="127.0.0.1"
     DENY_FROM="all"
     POLICY="allow"

Затем перезапустите pveproxy:

     systemctl restart pveproxy

Теперь только nginx напрямую обращается к :8006, а конечные пользователи безопасно подключаются через :443 с действительными сертификатами.

Способ 3. Как изменить порт веб-консоли Proxmox по умолчанию прямым редактированием конфигурационных файлов?

Некоторые опытные пользователи пытаются редактировать /etc/default/pveproxy или /etc/pve/datacenter.cfg, надеясь изменить порт прослушивания нативно, например добавив PORT=8443. Однако не все версии стабильно учитывают эти настройки, поскольку многие значения могут быть жестко заданы в исходных Perl-файлах.

Если вы все же выбираете этот способ:

1) Сначала создайте резервные копии обоих файлов,

2) Вносите небольшие последовательные изменения,

3) Перезапускайте pveproxy (systemctl restart pveproxy) после каждого изменения,

4) Тщательно проверяйте результат перед закрытием root-сеансов.

Помните, что будущие обновления могут перезаписать ручные изменения или полностью нарушить их работу.

Способ 4. Как изменить порт веб-консоли Proxmox по умолчанию изменением исходного кода (не рекомендуется)?

Редактирование исходного Perl-кода внутри /usr/share/perl5/PVE/API2Tools.pm и других файлов с заменой каждого экземпляра 8006 на другое значение — рискованный подход. Обновления, скорее всего, вернут изменения без предупреждения, а ошибки могут полностью заблокировать доступ до исправления через rescue mode shell.

Vinchin — корпоративное решение для резервного копирования вашей виртуализированной инфраструктуры

Когда вы повышаете безопасность и надежность среды Proxmox, надежное резервное копирование становится важным условием непрерывности бизнеса и планирования аварийного восстановления.

Vinchin Backup & Recovery — это профессиональное корпоративное решение для резервного копирования виртуальных машин, поддерживающее более пятнадцати популярных платформ виртуализации, включая полную совместимость с кластерами Proxmox VE, а также VMware vSphere, Hyper-V, oVirt, OLVM, RHV, XCP-ng, XenServer, OpenStack, ZStack и другими.

Vinchin, разработанный специально для современных виртуализированных дата-центров, предоставляет комплексные функции защиты ВМ, включая бесконечное инкрементное резервное копирование, которое минимизирует использование хранилища и ускоряет циклы резервного копирования, а также продвинутые технологии дедупликации и сжатия, значительно уменьшающие размер резервных копий без потери производительности.

Кроме того, Vinchin обеспечивает удобную кроссплатформенную V2V-миграцию, позволяя переносить рабочие нагрузки между разными гипервизорами при необходимости.

Среди других преимуществ — гибкое расписание, гранулярное восстановление до уровня файлов внутри ВМ, поддержка мгновенного восстановления, интеграция архивирования в облако/на ленту, ускорение многопоточной передачи, шифрование данных при хранении и передаче, политики хранения GFS, ограничения пропускной способности, быстрые инкрементальные резервные копии на основе CBT, модули ускорения SpeedKit для разных платформ и многое другое.

Управление резервными копиями просто благодаря интуитивно понятной веб-консоли Vinchin.

Чтобы создать резервную копию конкретной ВМ, например в инфраструктуре Proxmox, выполните следующие действия:

1) Выберите нужные ВМ;

Выберите нужные ВМ

2) Выберите подходящее хранилище резервного копирования;

Выберите подходящее хранилище резервного копирования

3) Определите подходящие стратегии резервного копирования;

Определите подходящие стратегии резервного копирования

4) Отправьте задание — все это занимает всего несколько минут.

Отправьте задание

Vinchin получает высокие оценки по всему миру среди ИТ-специалистов, которым нужна надежная защита данных в разнородных средах виртуализации.

Вы можете оценить Vinchin без риска — доступна полнофункциональная бесплатная пробная версия на 60 дней.

Нажмите ниже, чтобы скачать установщик и легко развернуть решение:

Часто задаваемые вопросы об изменении порта Proxmox по умолчанию

Вопрос 1. Можно ли сразу переключить веб-интерфейс на стандартный HTTPS-порт 443?

Ответ: Не напрямую через нативные настройки, но это можно сделать с помощью перенаправления трафика через iptables/NAT или внешнего обратного прокси, например nginx, который слушает 443 и перенаправляет запросы внутрь на порт Proxmox по умолчанию, обычно 8006.

Вопрос 2. Что делать, если после изменения сетевых настроек доступ потерян?

Ответ: Загрузитесь в rescue mode через KVM/IPMI/iLO-консоль, затем восстановите предыдущие копии /etc/default/pveproxy, вручную отмените правила firewall или удалите последние NAT-записи, которые блокируют легитимный вход.

Вопрос 3. Повлияет ли перенос портала администратора на функции кластера?

Ответ: Нет, если UDP-трафик Corosync между узлами не заблокирован, кластер продолжит работать. Однако всегда сообщайте команде новые URL входа для каждого узла, особенно если задачи автоматизируются в кластере.

Заключение

Интерфейс управления Proxmox VE по умолчанию безопасно работает через HTTPS на порту 8006, но администраторы могут изменить способ подключения с помощью NAT-перенаправления, firewall, обратного прокси или точечных изменений конфигурации.

Всегда создавайте резервные копии как гостевых систем, так и конфигураций хоста перед экспериментами.

Для надежного резервного копирования на разных платформах рассмотрите проверенное решение Vinchin, созданное специально для потребностей виртуальной инфраструктуры.

поделиться:

Категории: Виртуальная машина