Hyper-V ロールが有効になっている Windows 2008 R2 サーバーと、多数の Hyper-V VM があります。VM のうちの 1 つは CentOS SIP サーバーです。external特定のポート (80、443 など) の IP アドレスからのすべての着信トラフィックをブロックしたいと考えています。基本的に、VPN に接続しているときのみ、Web インターフェイスを介して SIP サーバーを管理できるようにしたいと考えています。
私の設定は次のとおりです:
Hyper-V ホストには 2 つのインターフェイスがあります: 192.168.2.XXX (内部) と 8.8.8.YYY (外部)
Hyper-V VM には内部 IP アドレス 192.168.2.123 のみがあり、RRAS で NAT 予約を設定し、192.168.2.123 を 8.8.8.123 にマッピングして、着信セッションを許可しました。
すべて問題なく正常に動作します。ただし、HyperV ホストがゲスト VM への特定のトラフィックをブロックすることは可能ですか? 次のように Windows ファイアウォール ルールを設定してみました。
block all incoming traffic to local IP address 192.168.2.123 or 8.8.8.123
しかし、動作しません - Web UI にアクセスすることはできます。
答え1
NAT を使用している場合、Hyper-V コードは関係ありません。NAT 内でポリシーを適用する必要があります。NAT を使用すると、実質的に仮想イーサネット スイッチが不要になります。
一般的に、Hyper-V 仮想スイッチは、物理スイッチとほぼ同じ方法で仮想ネットワーク ポートにポリシーを適用できるという意味で、構成可能です。一般的な概要については、次のリンクを参照してください。
http://technet.microsoft.com/en-us/library/jj679878.aspx
また、Hyper-V に接続してより高度なポリシーを提供する仮想スイッチ拡張機能を複数のベンダーから入手することもできます。