Uma situação: a rede local 192.168.0.0/16 está dividida em muitas sub-redes e os roteadores estão instalados. Uma máquina virtual hospedada pelo Hyper-V está localizada em uma sub-rede 192.168.X.0/24. A tarefa foi dada para limitar o acesso a esta VM de todos os hosts, exceto uma determinada lista, que contém endereços IP das sub-redes 192.168.Y.0/24, onde Y é diferente de X e o acesso de rede à sub-rede 192.168.Y.0/24 é roteado. A configuração da rede da VM é a seguinte:
IPv4 Address: 192.168.X.10
Subnet mask: 255.255.255.0
Default gateway: 192.168.X.1
Portanto, realizo as seguintes alterações na ACL da porta Hyper-V:
Add-VMNetworkAdapterAcl -vm $vm -RemoteIPAddress 192.168.Y.Z -action allow -direction both
Add-VMNetworkAdapterAcl -vm $vm -RemoteIPAddress any -action deny -direction both
Para minha surpresa, ping 192.168.Y.Z
mostrou "Host de destino inacessível" da VM, e também executar ping na VM desse host retornou o mesmo. Por outro lado, se eu adicionar uma entrada ACL 192.168.X.Z
à mesma VM, a alteração permitirá que a VM veja o host sem problemas.
Responder1
A solução foi adicionar uma entrada ACL para o gateway padrão da VM ou, no caso de uma rota personalizada para a sub-rede 192.168.Y, o endereço IP do destino da rota, para permitir que os pacotes fossem roteados para o host remoto.
Add-VMNetworkAdapterAcl -vm $vm -RemoteIPAddress 192.168.X.1 -action allow -direction both
Infelizmente, isso não é mencionado em nenhum tutorial de configuração de ACLs para Hyper-V, provavelmente devido ao fato de que as LANs nesses tutoriais são tão simples quanto possível e não contêm segmentos roteados.