%20%D1%81%20%D0%B2%D0%B8%D1%80%D1%82%D1%83%D0%B0%D0%BB%D1%8C%D0%BD%D1%8B%D1%85%20%D0%BC%D0%B0%D1%88%D0%B8%D0%BD%3F.png)
Я работаю с VMware ESXi v5 и установил Win XP 32bit в качестве одной из виртуальных машин.
Я хочу заблокировать исходящий доступ (особенно http) с виртуальной машины (возможно, с помощью какой-то формы брандмауэра?), но при этом разрешить:
- Вход в ВМ через RDC
- Совместное использование файлов или других функций с другими виртуальными машинами (возможно, имеется в виду в пределах локальной сети) на хосте, например, через рабочую группу. (Это может потребовать отдельного вопроса)
Есть идеи, как сделать вышеизложенное? Все еще новичок в VM-ing! Но готов учиться! :)
решение1
Я бы предложил одну из VMWarevЩитпродукты, возможно, «App» или «Edge» — взгляните, есть много вариантов.
решение2
Если предположить, что ваша виртуальная машина Windows XP подключена к физическому интерфейсу на вашем устройстве ESXi или является частью виртуального коммутатора, подключенного к физическому интерфейсу на вашем устройстве ESXi, у вас есть несколько вариантов.
Вы можете использовать брандмауэр Windows XP для управления входящими и исходящими сетевыми соединениями. Это был бы самый быстрый способ сделать это без изменения каких-либо настроек ESXi. Вы можете прочитать большездесь
Вы можете создать еще одну виртуальную машину или использовать виртуальное устройство, которое будет работать как сетевой брандмауэр. Затем вам нужно будет создать два виртуальных коммутатора. Один, который будет подключен к интерфейсу вашего физического сервера, и один из интерфейсов на виртуальной машине брандмауэра. Вы можете отметить это как «Внешний интерфейс». Затем один виртуальный коммутатор, который подключается ко второму интерфейсу на виртуальной машине брандмауэра и интерфейсу вашей виртуальной машины Windows XP. Вы можете отметить это как «Внутренний интерфейс». Сложность здесь в том, что вы выбираете NAT или маршрутизируете трафик между внутренней и внешней средой. Может быть проще NAT трафика и переадресации портов подключений к удаленному рабочему столу, или вам может быть удобно объявить новый маршрут в подсеть на внутреннем интерфейсе. Некоторые виртуальные устройства брандмауэра могут разрешать работу в качестве мостового брандмауэра, если вы можете запустить одну и ту же подсеть для внутренних и внешних интерфейсов, это может потребовать дополнительной работы на виртуальном коммутаторе, чтобы разрешить proxy ARP или разрешенный трафик.
Вы можете разместить межсетевой экран между физическим соединением ESXi и любой сетью, к которой вы подключены.
решение3
Откуда вы хотите заблокировать его? Если машины (ВМ) настроены с использованием моста, вы можете заблокировать доступ на брандмауэре или настроить брандмауэр в своей сети для фильтрации трафика.
Другой вариант — создать виртуальную машину с Linux, установить на ней программное обеспечение брандмауэра, а затем настроить другие виртуальные машины на использование ее в качестве шлюза в Интернет (используйте проксирование и переадресацию на виртуальной машине Linux для отправки трафика на ваш «реальный» шлюз).