我正在使用 vmware ESXi v5,并安装了 Win XP 32 位作为其中的一个虚拟机。
我希望阻止来自 VM 的传出访问(尤其是 http)(可能是某种形式的防火墙?),但仍允许:
- 通过 RDC 进入虚拟机
- 与主机中的其他虚拟机(可能意味着在 LAN 内)共享文件或其他功能,类似于通过工作组。(这可能需要一个单独的问题)
关于如何实现上述目标,您有什么想法吗?我对虚拟机还很陌生!但愿意学习!:)
答案1
我建议使用 VMWare虚拟盾产品,可能是“App”或“Edge”——看一看,有很多选择。
答案2
假设您的 Windows XP VM 正在桥接至 ESXi 盒上的物理接口或连接到 ESXi 盒上的物理接口的虚拟交换机的一部分,您有几种选择。
您可以使用 Windows XP 防火墙来控制入站和出站网络连接。这是最快的方法,无需更改任何 ESXi 设置。您可以阅读更多这里
您可以构建另一个虚拟机或使用虚拟设备作为网络防火墙运行。然后,您需要创建两个虚拟交换机。一个连接到您的物理服务器接口,另一个连接到防火墙虚拟机上的接口之一。您可以将其记为“外部接口”。然后,一个虚拟交换机连接到虚拟防火墙虚拟机上的第二个接口和 Windows XP 虚拟机的接口。您可以将其记为“内部接口”。这里的棘手部分是您是否选择 NAT 或路由内部和外部之间的流量。对流量进行 NAT 和端口转发远程桌面连接可能更容易,或者您可能觉得在内部接口上通告到子网的新路由更方便。某些虚拟防火墙设备可能允许作为桥接防火墙运行,如果这样,您可以为内部和外部接口运行相同的子网,这可能需要在虚拟交换机上进行额外的工作以允许代理 ARP 或允许流量。
您可以在 ESXi 物理连接和所连接的任何网络之间放置防火墙设备。
答案3
您想从哪里阻止它?如果机器(虚拟机)配置了桥接,您可以在防火墙处阻止访问,或者在网络上设置防火墙来过滤流量。
另一种选择是创建一个带有 Linux 的 VM,在其上安装防火墙软件,然后将其他 VM 设置为将其用作 Internet 网关(在 Linux VM 上使用代理和转发将流量发送到您的“实际”网关。)