Ich habe einen Windows 2008 R2-Server mit aktivierter Hyper-V-Rolle und eine Reihe von Hyper-V-VMs. Eine der VMs ist ein CentOS SIP-Server. Ich möchte den gesamten eingehenden Datenverkehr von externalIP-Adressen auf bestimmten Ports blockieren – 80, 443 usw. Grundsätzlich möchte ich meinen SIP-Server nur dann über die Weboberfläche verwalten können, wenn ich mit VPN verbunden bin.
mein Setup ist wie folgt:
Der Hyper-V-Host verfügt über zwei Schnittstellen: 192.168.2.XXX (intern) und 8.8.8.YYY (extern)
Die Hyper-V-VM hat NUR eine interne IP-Adresse – 192.168.2.123, und ich habe in RRAS eine NAT-Reservierung dafür eingerichtet, indem ich 192.168.2.123 auf 8.8.8.123 abgebildet und eingehende Sitzungen zugelassen habe.
alles funktioniert super, keine Probleme. Aber ist es dem HyperV-Host möglich, bestimmten Datenverkehr zur Gast-VM zu blockieren? Ich habe versucht, die Windows-Firewall-Regel wie folgt einzurichten:
block all incoming traffic to local IP address 192.168.2.123 or 8.8.8.123
aber es funktioniert nicht. Ich konnte immer noch auf die Web-Benutzeroberfläche zugreifen.
Antwort1
Der Hyper-V-Code ist nicht beteiligt, wenn Sie ein NAT verwenden. Sie müssen die Richtlinien innerhalb des NAT anwenden. Durch die Verwendung des NAT nehmen Sie den virtuellen Ethernet-Switch im Wesentlichen aus dem Spiel.
Im Allgemeinen ist der virtuelle Switch von Hyper-V konfigurierbar, in dem Sinne, dass Sie Richtlinien auf virtuelle Netzwerkports auf die gleiche Weise anwenden können wie bei einem physischen Switch. Hier ist ein guter Link für einen allgemeinen Überblick:
http://technet.microsoft.com/en-us/library/jj679878.aspx
Sie können von verschiedenen Anbietern auch virtuelle Switch-Erweiterungen erhalten, die sich in Hyper-V integrieren lassen und komplexere Richtlinien bereitstellen.