Назад | Перейти на главную страницу

Можно ли настроить хост Hyper-V для блокировки определенного трафика для гостей?

У меня есть сервер Windows 2008 R2 с включенной ролью Hyper-V и несколько виртуальных машин Hyper-V. Из виртуальных машин - SIP-сервер CentOS. Я хочу заблокировать весь входящий трафик от external IP-адрес на определенных портах - 80, 443 и т. Д. В основном я хочу иметь возможность управлять своим SIP-сервером через веб-интерфейс, только когда я подключен к VPN.

моя настройка выглядит следующим образом:

Хост Hyper-V имеет 2 интерфейса: 192.168.2.XXX (внутренний) и 8.8.8.YYY (внешний).

Виртуальная машина Hyper-V имеет ТОЛЬКО внутренний IP-адрес - 192.168.2.123, и я настроил для него NAT-резервирование в RRAS, сопоставив 192.168.2.123 с 8.8.8.123 и разрешив входящие сеансы.

все работает отлично, без проблем. Но может ли хост HyperV заблокировать определенный трафик к гостевой виртуальной машине? Я попытался настроить правило брандмауэра Windows следующим образом:

block all incoming traffic to local IP address 192.168.2.123 or 8.8.8.123

но это не работает - я все еще мог получить доступ к веб-интерфейсу.

Код Hyper-V не используется, если вы используете NAT. Вам нужно будет применить политики в NAT. Используя NAT, вы, по сути, исключаете виртуальный коммутатор Ethernet.

В общем, виртуальный коммутатор Hyper-V настраивается в том смысле, что вы можете применять политики к портам виртуальной сети во многом так же, как и с физическим коммутатором. Вот хорошая ссылка для общего обзора:

http://technet.microsoft.com/en-us/library/jj679878.aspx

Вы также можете получить расширения виртуального коммутатора от нескольких поставщиков, которые подключаются к Hyper-V и предоставляют более сложные политики.