У меня есть сервер Windows 2008 R2 с включенной ролью Hyper-V и несколько виртуальных машин Hyper-V. Из виртуальных машин - SIP-сервер CentOS. Я хочу заблокировать весь входящий трафик от external
IP-адрес на определенных портах - 80, 443 и т. Д. В основном я хочу иметь возможность управлять своим SIP-сервером через веб-интерфейс, только когда я подключен к VPN.
моя настройка выглядит следующим образом:
Хост Hyper-V имеет 2 интерфейса: 192.168.2.XXX (внутренний) и 8.8.8.YYY (внешний).
Виртуальная машина Hyper-V имеет ТОЛЬКО внутренний IP-адрес - 192.168.2.123, и я настроил для него NAT-резервирование в RRAS, сопоставив 192.168.2.123 с 8.8.8.123 и разрешив входящие сеансы.
все работает отлично, без проблем. Но может ли хост HyperV заблокировать определенный трафик к гостевой виртуальной машине? Я попытался настроить правило брандмауэра Windows следующим образом:
block all incoming traffic to local IP address 192.168.2.123 or 8.8.8.123
но это не работает - я все еще мог получить доступ к веб-интерфейсу.
Код Hyper-V не используется, если вы используете NAT. Вам нужно будет применить политики в NAT. Используя NAT, вы, по сути, исключаете виртуальный коммутатор Ethernet.
В общем, виртуальный коммутатор Hyper-V настраивается в том смысле, что вы можете применять политики к портам виртуальной сети во многом так же, как и с физическим коммутатором. Вот хорошая ссылка для общего обзора:
http://technet.microsoft.com/en-us/library/jj679878.aspx
Вы также можете получить расширения виртуального коммутатора от нескольких поставщиков, которые подключаются к Hyper-V и предоставляют более сложные политики.