Me gustaría conectar una máquina virtual con acceso LAN pero restringir su acceso a Internet. Me he encontrado con un par de comentarios, comoÉste—Lo que indica que esto se puede hacer a través de dos NIC, pero los detalles exactos de la configuración son un poco confusos.
A continuación se ofrecen algunos antecedentes sobre lo que impulsa este esfuerzo:
Una actualización reciente de Windows (no estoy seguro de cuál) ha derrocado al poderoso QuickBooks. Pude configurarlo correctamente dentro de una nueva máquina virtual Win10 aislada en red, para evitar que las actualizaciones de Windows entren aleatoriamente en la puerta (tendré que conectarlo brevemente para la activación, pero bueno). Actualmente se encuentra en un nivel de parche inferior al de la actualización ofensiva y me gustaría mantenerlo así, al menos en el futuro cercano.
Pero el acceso frecuente y repetido a través de Hyper-V Manager es, bueno... en el mejor de los casos, engorroso. Si pudiera ingresar RDP en él, eso también significaría que podría compartir recursos de la unidad local para copiar manualmente varios archivos de un lado a otro.
Para las copias de seguridad nocturnas automatizadas, puedo escribir un script de PowerShell para hacer algo como esto:
- Apague la máquina virtual
- Monte el VHDX
- Utilice RoboCopy para sincronizar una carpeta
- Desmontar el VHDX
- Inicie la máquina virtual
Elcomentariouna especie de pistas de que la configuración es algo fácil de montar. Bueno... ¡fácil si sabes cómo!
Por ejemplo:
uno en la prueba aislada y otro en la red de producción
¿Está hablando?VLAN?
Asegúrese de que ambas NIC estén configuradas para no registrarse en DNS
¿Cómo se logra esto? ¿Se refiere a omitir las entradas del servidor DNS en las hojas de propiedades IPv4 de las NIC?
Simplemente establezca un registro estático en cada lado DNS
Véase más arriba.
¿Es esto lo que se llama una 'DMZ'?
Yo sé unpequeñoun poco sobre DNS, pero absolutamente nada sobre VLAN. No es que esté en contra de estudiar un tema maravilloso, pero detesto buscar madrigueras para aprender sobre algo que, en última instancia, puede terminar no contribuyendo a lo que busco. Es por eso que los aprecio tanto, amigos: realmente saben cómo lograr esto y qué partes/piezas se necesitan para hacerlo.
Vaya, ni siquiera puedo entender si está hablando de instalar otra máquina virtual además de mi máquina virtual QuickBooks.
He intentado mi diligencia debida, buscando soluciones, pero me temo que no estoy lo suficientemente familiarizado con la terminología aquí como para saber siquiera qué buscar. Los resultados de búsqueda muestran procedimientos para todo menos. Tuve suerte de encontrar el que encontré.
Hay un montón de cosas por ahí sobre Copy-VMFile, pero fluyen en la dirección equivocada. Necesito de invitado a anfitrión, no de anfitrión a invitado. Los motores de búsqueda no parecen ser lo suficientemente inteligentes como para darse cuenta de esto a partir de mis palabras clave (por ejemplo, hyper-v get files from isolated vmo hyper-v internal network access no internet). Todos los enlaces apuntanaRoma, no de ella. Todos los enlaces creen que me quejo de la falta de acceso a Internet. No soy. Quiero saber cómo restringirlo A PROPÓSITO.
No tengo tiempo para esperar a que estos dos gigantes se peleen. Necesito seguir moviéndome y esquivar los torpes pies de los pesados gigantes. Esto ya me ha retrasado en mi importante trabajo contable.
¿Qué pasos (como si estuvieras entrenando a un principiante, por favor) debo seguir para desarrollar lo que él está hablando?
Respuesta1
Puede configurar una dirección IP estática en su VM invitada y luego configurar su firewall de red para bloquear el acceso externo a esa dirección IP.
Respuesta2
Si usa un firewall, probablemente bloqueará todo el tráfico de Internet del host. Si el objetivo es simplemente impedir las actualizaciones de Windows, existen mecanismos menos severos.
Hago esto con el servidor DNS PiHole. Es bastante sencillo de configurar. Básicamente, actúa como un agujero negro de DNS. Lo uso para incluir en la lista negra los sitios de actualización de Microsoft. De esa manera, pueden suceder otras cosas de Internet, pero las actualizaciones de Windows solo ocurren cuando yo quiero.
Cuando llega el momento de permitir una actualización, simplemente apunto mi host al DNS de mi ISP. Cuando termino, apunto de nuevo al PiHole.
Si realmente sólo desea bloquear todo el tráfico de Internet, pero aún así permitir el tráfico de la LAN local, simplemente no establezca una ruta predeterminada en la máquina con Windows. No hay necesidad de reglas de firewall y todo eso. Cuando desee permitir actualizaciones, configure la ruta y déjela ir... luego elimine la ruta. Pan comido.