Gostaria de conectar uma VM com acesso à LAN, mas restringir o acesso à Internet. Encontrei alguns comentários, comoEste—indicando que isso pode ser feito por meio de duas NICs, mas os detalhes exatos da configuração são um pouco confusos.
Aqui estão alguns antecedentes sobre o que está impulsionando esse esforço:
Uma atualização recente do Windows (não tenho certeza qual) derrubou os poderosos QuickBooks. Consegui configurá-lo corretamente dentro de uma nova VM Win10 isolada em rede, para evitar que as atualizações do Windows entrem na porta (terei que conectá-lo brevemente para ativação, mas tudo bem). Atualmente, está em um nível de patch inferior ao da atualização ofensiva e gostaria de mantê-lo assim – pelo menos no futuro próximo.
Mas o acesso frequente e repetido através do Hyper-V Manager é, bem... complicado, na melhor das hipóteses. Se eu conseguisse fazer o RDP nele, isso também significaria que eu poderia compartilhar recursos da unidade local para copiar manualmente vários arquivos.
Para backups noturnos automatizados, posso escrever um script do PowerShell para fazer algo assim:
- Desligue a VM
- Monte o VHDX
- Use RoboCopy para sincronizar uma pasta
- Desmonte o VHDX
- Inicie a VM
OComenteuma espécie de dica de que a configuração é algo fácil de montar. Bem... fácil se você souber como!
Por exemplo:
um no teste isolado e outro na rede de produção
Ele está falandoVLANs?
Certifique-se de que ambas as nics estejam configuradas para não serem registradas no DNS
Como alguém consegue isso? Ele quer dizer omitir as entradas do servidor DNS nas folhas de propriedades IPv4 das NICs?
Basta definir um registro estático em cada lado do DNS
Veja acima.
Isso é chamado de 'DMZ'?
Eu conheço umpequenopouco sobre DNS, mas absolutamente nada sobre VLANs. Não que eu seja contra estudar esse assunto maravilhoso, mas detesto ir atrás de tocas de coelho para aprender sobre algo que pode acabar não contribuindo para o que procuro. É por isso que aprecio tanto vocês, pessoal - vocês realmente sabem como fazer essas coisas e quais peças são necessárias para fazê-lo.
Caramba, não consigo nem descobrir se ele está falando em criar outra VM além da minha VM QuickBooks.
Tentei minha devida diligência, procurando soluções, mas infelizmente não estou familiarizado o suficiente com a terminologia aqui para saber o que procurar. Os resultados da pesquisa apresentam instruções para tudo, menos. Tive sorte de encontrar o que fiz.
Há uma tonelada de coisas por aí Copy-VMFile, mas isso flui na direção errada. Preciso de convidado para host, não de host para convidado. Os motores de busca não parecem ser inteligentes o suficiente para descobrir isso a partir das minhas palavras-chave (por exemplo, hyper-v get files from isolated vmou hyper-v internal network access no internet). Todos os links apontamparaRoma, não dela. Todos os links acham que estou reclamando da falta de acesso à Internet. Eu não sou. Quero saber como restringi-lo DE PROPÓSITO.
Não tenho tempo para esperar que esses dois gigantes se enfrentem. Preciso continuar me movendo e passar pelos pés desajeitados dos gigantes pesados. Isso já me atrasou em meu trabalho crítico de contabilidade.
Que etapas (como se você estivesse treinando um iniciante, por favor) preciso seguir para construir o que ele está falando?
Responder1
Você pode configurar um endereço IP estático na VM convidada e, em seguida, configurar o firewall da rede para bloquear o acesso externo a esse endereço IP.
Responder2
Se você usar um firewall, provavelmente bloqueará todo o tráfego de Internet do host. Se o objetivo é simplesmente impedir as atualizações do Windows, existem mecanismos menos severos.
Eu faço isso com o servidor DNS PiHole. É muito simples de configurar. Basicamente, ele atua como um buraco negro de DNS. Eu o uso para colocar na lista negra os sites de atualização da Microsoft. Dessa forma, outras coisas da Internet podem acontecer, mas as atualizações do Windows só acontecem quando eu quero.
Quando chega a hora de permitir uma atualização, simplesmente aponto meu host para o DNS do meu ISP. Quando termino, aponto de volta para o PiHole.
Se você realmente deseja apenas bloquear todo o tráfego da Internet, mas ainda permitir o tráfego da LAN local, apenas não defina uma rota padrão na máquina Windows. Não há necessidade de regras de firewall e tudo mais. Quando você quiser permitir atualizações, defina a rota e deixe-a ir... depois exclua a rota. Mole-mole.