У меня есть сервер Windows 2008 R2 с включенной ролью Hyper-V и несколько виртуальных машин Hyper-V. Одна из виртуальных машин — это сервер CentOS SIP. Я хочу заблокировать весь входящий трафик с externalIP-адреса на определенных портах — 80, 443 и т. д. По сути, я хочу иметь возможность управлять своим сервером SIP через веб-интерфейс только при подключении к VPN.
Моя настройка следующая:
Хост Hyper-V имеет 2 интерфейса: 192.168.2.XXX (внутренний) и 8.8.8.YYY (внешний)
У виртуальной машины Hyper-V есть ТОЛЬКО внутренний IP-адрес - 192.168.2.123, и я настроил для нее резервирование NAT в RRAS, сопоставив 192.168.2.123 с 8.8.8.123 и разрешив входящие сеансы.
все работает отлично, никаких проблем. Но может ли хост HyperV блокировать определенный трафик гостевой виртуальной машины? Я попробовал настроить правило брандмауэра Windows следующим образом:
block all incoming traffic to local IP address 192.168.2.123 or 8.8.8.123
но это не работает - я все еще могу получить доступ к веб-интерфейсу.
решение1
Код Hyper-V не задействован, если вы используете NAT. Вам придется применять политики в пределах NAT. Используя NAT, вы по сути убираете виртуальный коммутатор Ethernet из картины.
В целом, виртуальный коммутатор Hyper-V настраивается, в том смысле, что вы можете применять политики к виртуальным сетевым портам почти так же, как и к физическому коммутатору. Вот хорошая ссылка для общего обзора:
http://technet.microsoft.com/en-us/library/jj679878.aspx
Вы также можете получить расширения виртуальных коммутаторов от нескольких поставщиков, которые подключаются к Hyper-V и предоставляют более сложные политики.