У меня есть хост-сервер под управлением Windows Server 2008, и на нем у меня есть виртуальный сервер (использующий Hyper-V) под управлением Windows Server 2003. На виртуальном сервере конкретно размещаются веб-сайты. Я пытаюсь использовать на них брандмауэры Windows (хост и виртуальные серверы), чтобы защитить их, если мой аппаратный брандмауэр снова выйдет из строя. Мне нужно включить RDP и разрешить только определенные IP-адреса. У меня это работает на хозяина. Однако, когда я проделал тот же процесс для виртуального сервера, RDP не был ограничен конкретными IP-адресами. Это означает, что я все еще мог получить доступ к виртуальному серверу с IP-адреса, которого не было в списке. Итак, мой вопрос: как брандмауэр виртуального сервера обрабатывается по-разному / по отношению к хосту?
Ответ во многом зависит от того, как вы настроили Hyper-V для работы в сети. Когда вы настраиваете гостевую ОС, вы обычно настраиваете виртуальную сетевую карту (виртуальную сетевую карту), и выбранные вами настройки будут влиять на то, как ваш компьютер будет обрабатывать сетевой трафик. Как правило, вы можете выбрать несколько распространенных вариантов:
NAT будет настройкой по умолчанию, так что, вероятно, вы сейчас используете именно это. Он позволяет вам подключаться за пределами сети для таких вещей, как доступ в Интернет, но без дополнительных настроек он не позволит вам установить входящее соединение с ним. В этом режиме гостевая ОС отправляет трафик нормально, но ваши пакеты переписываются на шлюзе, чтобы выглядеть так, как будто они исходят от хост-системы. Поскольку у вас есть веб-сервер, вам, скорее всего, понадобится мостовая сеть.
Мостовая сеть работает, по сути, рассматривая гостевую систему как «реальную» машину. Виртуальная машина имеет доступ к физической сети и может напрямую обращаться к любым службам в ней.
Лучше всего настроить третий вариант - настроить NAT с переадресацией портов. По умолчанию это предотвращает входящие подключения к гостевой ОС, поскольку она будет находиться в отдельной подсети (скорее всего, у нее будет IP-адрес 10.X.X.X). Если у вас есть RDP, запущенный на 3389, вы должны настроить правило на своем физическом маршрутизаторе, а также в настройках NAT в Hyper-V для перенаправления трафика на 3389 с вашего хост-адаптера на ваш виртуальный адаптер.