%EF%BC%9F.png)
我正在使用 vmware ESXi v5,並安裝了 Win XP 32 位元作為其中的虛擬機器之一。
我希望阻止來自虛擬機器的傳出存取(尤其是 http)(可能是某種形式的防火牆?),但仍然允許:
- 透過 RDC 存取 VM
- 與主機中的其他虛擬機器(可能是在 LAN 內)共用檔案或其他功能,類似於透過工作群組。 (這可能需要一個單獨的問題)
關於如何執行上述操作有什麼想法嗎? VM 方面仍然很新!但願意學習! :)
答案1
我建議使用VMWare之一威盾產品,也許是「應用程式」或「邊緣」——看看,有很多選擇。
答案2
假設您的 Windows XP 虛擬機正在橋接到 ESXi 機箱上的實體接口,或橋接到連接到 ESXi 機箱上實體接口的虛擬交換器的一部分,您有多種選擇。
您可以使用 Windows XP 防火牆來控制入站和出站網路連線。這是在不更改任何 ESXi 設定的情況下執行此操作的最快方法。您可以閱讀更多內容這裡
您可以建立另一個虛擬機器或使用充當網路防火牆的虛擬設備。然後,您需要建立兩個虛擬交換器。一個將連接到實體伺服器介面和防火牆虛擬機器上的介面之一。您可以將其記為“外部介面”。然後是一個虛擬交換機,連接到虛擬防火牆 VM 上的第二個介面和 Windows XP VM 的介面。您可以將其記為“內部介面”。這裡棘手的部分是您是否選擇 NAT 或在內部和外部之間路由流量。對流量進行 NAT 並轉送遠端桌面連線的連接埠可能會更容易,或者您可能會放心在內部介面上通告到子網路的新路由。如果您可以為內部和外部介面運行相同的子網,某些虛擬防火牆設備可能允許作為橋接防火牆運行,這可能需要在虛擬交換器上進行額外的工作以允許代理 ARP 或許可流量。
您可以在 ESXi 實體連線和您所連線的網路之間放置防火牆裝置。
答案3
你想從哪裡阻止它?如果電腦 (VM) 配置了橋接,您可以在防火牆處阻止訪問,或在網路上設定防火牆來過濾流量。
另一種選擇是使用Linux 建立虛擬機,在其上安裝防火牆軟體,然後將其他虛擬機設定為將其用作Internet 網關(在Linux 虛擬機上使用代理和轉送將流量傳送至「實際」閘道。 )