Я хотел бы подключить виртуальную машину с доступом к локальной сети, но ограничить ее доступ к Интернету. Я наткнулся на пару комментариев, напримерВот этот— что указывает на то, что это можно сделать с помощью двух сетевых карт, но точные детали конфигурации немного неясны.
Вот некоторая предыстория того, что движет этими усилиями:
Недавнее обновление Windows (не уверен, какое именно) свалило могучий QuickBooks. Мне удалось привести его в порядок внутри новой сетевой изолированной виртуальной машины Win10, чтобы предотвратить проталкивание обновлений Windows в дверь (мне придется подключить его на короткое время для активации, ну да ладно). В настоящее время он находится на уровне патча, который ниже, чем у проблемного обновления, и я хотел бы оставить его таким — по крайней мере, в ближайшем будущем.
Но частый и повторяющийся доступ через Hyper-V Manager, ну... в лучшем случае обременителен. Если бы я мог подключиться к нему по RDP, это также означало бы, что я мог бы делиться ресурсами локального диска для ручного копирования различных файлов туда и обратно.
Для автоматического ночного резервного копирования я могу написать скрипт PowerShell, который будет делать что-то вроде этого:
- Выключите виртуальную машину.
- Смонтировать VHDX
- Используйте RoboCopy для синхронизации папки
- Демонтируйте VHDX
- Запустите виртуальную машину
Theкомментарийсвоего рода намеки на то, что установка - это что-то легкое в сборке. Ну... легкое, если знаешь как!
Например:
один в изолированном тесте и другой в производственной сети
Он говорит?VLAN-сети?
Убедитесь, что обе сетевые карты настроены так, чтобы не регистрироваться в DNS.
Как это сделать? Он имеет в виду исключить записи DNS-сервера в листах свойств IPv4 сетевых карт?
Просто установите статическую запись на каждой стороне DNS
См. выше.
Это то, что называется «демилитаризованной зоной»?
Я знаюмаленькийНемного о DNS, но абсолютно ничего о VLAN. Не то чтобы я против изучения этой замечательной темы, но я ненавижу бегать по кроличьим норам, чтобы узнать что-то, что в конечном итоге может не способствовать тому, что я ищу. Вот почему я так ценю вас, замечательные люди, — вы действительно знаете, как это сделать, и какие части/части для этого нужны.
Черт возьми, я даже не могу понять, говорит ли он о создании еще одной виртуальной машины в дополнение к моей виртуальной машине QuickBooks.
Я пытался проявить должную осмотрительность, ища решения, но боюсь, что я недостаточно знаком с терминологией здесь, чтобы даже знать, что искать. Результаты поиска предлагают инструкции для всего, но. Мне повезло найти то, что я нашел.
Есть куча всего о Copy-VMFile, но это течет не в том направлении. Мне нужно гость-хозяин, а не хост-гость. Поисковые системы, похоже, недостаточно умны, чтобы понять это по моим ключевым словам (например, hyper-v get files from isolated vmили hyper-v internal network access no internet). Все ссылки указываюткРим, а не из него. Все ссылки думают, что я жалуюсь на отсутствие доступа в Интернет. Это не так. Я хочу знать, как ограничить его НАМЕРЕННО.
У меня нет времени ждать, пока эти два гиганта схлестнутся. Мне нужно продолжать двигаться и проскользнуть мимо неуклюжих ног неуклюжих гигантов. Это уже отбросило меня с моей важной бухгалтерской работой.
Какие шаги (как будто вы тренируете новичка) мне нужно предпринять, чтобы понять то, о чем он говорит?
решение1
Вы можете настроить статический IP-адрес в гостевой виртуальной машине, а затем настроить сетевой брандмауэр так, чтобы заблокировать внешний доступ для этого IP-адреса.
решение2
Если вы используете брандмауэр, вы, скорее всего, заблокируете весь интернет-трафик с хоста. Если цель — просто предотвратить обновления Windows, есть менее серьезные механизмы.
Я делаю это с помощью DNS-сервера PiHole. Он довольно прост в настройке. По сути, он действует как DNS-черная дыра. Я использую его для внесения в черный список сайтов обновлений Microsoft. Таким образом, могут происходить другие интернет-вещи, но обновления Windows происходят только тогда, когда я этого хочу.
Когда приходит время разрешить обновление, я просто указываю своему хосту DNS моего провайдера. Когда я заканчиваю, я указываю его обратно на PiHole.
Если вы действительно хотите просто заблокировать весь интернет-трафик, но при этом разрешить локальный LAN-трафик, просто не устанавливайте маршрут по умолчанию на машине Windows. Не нужны правила брандмауэра и все такое. Когда вы хотите разрешить обновления, установите маршрут и отпустите его... затем удалите маршрут. Легко и просто.