Назад | Перейти на главную страницу

Как заблокировать исходящий трафик (HTTP) с виртуальных машин?

Я играю с vmware ESXi v5 и установил 32-битную Win XP в качестве одной из виртуальных машин внутри.

Я хочу заблокировать исходящий доступ (особенно http) из виртуальной машины (может быть, какой-то брандмауэр?), Но все же разрешить:

  1. Вход в ВМ через RDC
  2. Совместное использование файлов или других функций с другими виртуальными машинами (возможно, в локальной сети) на хосте, например, через рабочую группу. (может потребоваться отдельный вопрос)

Есть идеи, как я могу сделать это? Все еще очень новинка в VM-ing! Но желаю учиться! :)

Предполагая, что ваша виртуальная машина Windows XP подключается к физическому интерфейсу на вашем блоке ESXi или к части виртуального коммутатора, подключенного к физическому интерфейсу на вашем блоке ESXi, у вас есть несколько вариантов.

  1. Вы можете использовать брандмауэр Windows XP для управления входящими и исходящими сетевыми соединениями. Это был бы самый быстрый способ сделать это без изменения каких-либо настроек ESXi. Вы можете прочитать больше Вот

  2. Вы можете создать другую виртуальную машину или использовать виртуальное приложение, которое будет работать как сетевой брандмауэр. Затем вам нужно будет создать два виртуальных коммутатора. Один, который будет подключен к интерфейсу вашего физического сервера и одному из интерфейсов виртуальной машины межсетевого экрана. Вы можете отметить это как свой «Внешний интерфейс». Затем один виртуальный коммутатор, который подключается ко второму интерфейсу виртуальной машины брандмауэра и интерфейсу виртуальной машины Windows XP. Вы можете отметить это как свой «Внутренний интерфейс». Сложность здесь в том, что вы выбираете NAT или маршрутизируете трафик между внутренним и внешним миром. Может быть проще преобразовать трафик через NAT и переадресовать через порт подключения к удаленному рабочему столу, или вам может быть удобно объявить новый маршрут к подсети на внутреннем интерфейсе. Некоторые устройства виртуального брандмауэра могут разрешать работу в качестве брандмауэра с мостовым подключением, если вы можете запустить одну и ту же подсеть для внутреннего и внешнего интерфейсов, это может потребовать дополнительной работы на виртуальном коммутаторе, чтобы разрешить прокси-ARP или разрешающий трафик.

  3. Вы можете разместить брандмауэр между физическим подключением ESXi и любой сетью, к которой вы подключены.

Откуда вы хотите его заблокировать? Если на машинах (виртуальных машинах) настроен мост, вы можете заблокировать доступ на брандмауэре или настроить брандмауэр в своей сети для фильтрации трафика.

Другой вариант - создать виртуальную машину с Linux, установить на нее программное обеспечение брандмауэра, а затем настроить другую виртуальную машину для использования ее в качестве шлюза в Интернет (используйте проксирование и пересылку на виртуальной машине Linux для отправки трафика на ваш «настоящий» шлюз).

Я бы предложил одну из VMWare vShield продукты, возможно, «Приложение» или «Edge» - посмотрите, есть много вариантов.