%20%E3%82%92%E3%83%96%E3%83%AD%E3%83%83%E3%82%AF%E3%81%99%E3%82%8B%E3%81%AB%E3%81%AF%E3%81%A9%E3%81%86%E3%81%99%E3%82%8C%E3%81%B0%E3%82%88%E3%81%84%E3%81%A7%E3%81%99%E3%81%8B%3F.png)
私は VMware ESXi v5 を使用しており、内部の VM の 1 つとして Win XP 32 ビットをインストールしました。
VM からの発信アクセス (特に http) をブロックしたいのですが (おそらく何らかの形式のファイアウォールでしょうか)、それでも次のアクセスは許可します:
- RDC 経由で VM にアクセス
- ワークグループ経由のようなホスト内の他の VM (おそらく LAN 内) とのファイルやその他の機能の共有。(これは別の質問が必要になるかもしれません)
上記を実行する方法について何かアイデアはありますか? VM についてはまだ初心者ですが、学ぶ意欲はあります! :)
答え1
VMWareのvシールド製品、おそらく「App」または「Edge」 - 見てみると、たくさんのオプションがあります。
答え2
Windows XP VM が ESXi ボックスの物理インターフェイスにブリッジしているか、ESXi ボックスの物理インターフェイスに接続された仮想スイッチの一部である場合、いくつかの選択肢があります。
Windows XP ファイアウォールを使用して、受信および送信ネットワーク接続を制御できます。これは、ESXi 設定を変更せずにこれを行う最も簡単な方法です。詳細については、ここ
別の VM を構築するか、ネットワーク ファイアウォールとして機能する仮想アプライアンスを使用することができます。次に、2 つの仮想スイッチを作成する必要があります。1 つは物理サーバー インターフェイスに接続され、もう 1 つはファイアウォール VM のインターフェイスの 1 つに接続されます。これを「外部インターフェイス」とすることができます。次に、1 つの仮想スイッチが仮想ファイアウォール VM の 2 番目のインターフェイスと Windows XP VM のインターフェイスに接続されます。これを「内部インターフェイス」とすることができます。ここで注意が必要なのは、内部と外部の間でトラフィックを NAT するかルーティングするかを選択するかどうかです。トラフィックを NAT し、リモート デスクトップ接続をポート転送する方が簡単な場合もあれば、内部インターフェイスのサブネットへの新しいルートをアドバタイズする方が簡単な場合もあります。一部の仮想ファイアウォール アプライアンスでは、ブリッジ ファイアウォールとして動作できる場合があります。その場合は、内部インターフェイスと外部インターフェイスに同じサブネットを実行できますが、プロキシ ARP または許可されたトラフィックを許可するには、仮想スイッチで追加の作業が必要になる場合があります。
ESXi の物理接続と接続しているネットワークの間にファイアウォール デバイスを配置できます。
答え3
どこからブロックしますか? マシン (VM) がブリッジで構成されている場合は、ファイアウォールでアクセスをブロックするか、ネットワーク上にファイアウォールを設定してトラフィックをフィルタリングすることができます。
もう 1 つのオプションは、Linux で VM を作成し、その VM にファイアウォール ソフトウェアをインストールし、他の VM をインターネットへのゲートウェイとして使用するように設定することです (Linux VM でプロキシと転送を使用して、トラフィックを「実際の」ゲートウェイに送信します)。