我有启用了 Hyper-V 角色的 Windows 2008 R2 服务器和多个 Hyper-V VM。其中 VM 是 CentOS SIP 服务器。我想阻止来自external某些端口(80、443 等)的 IP 地址的所有传入流量。基本上,我希望仅当我连接到 VPN 时才能通过 Web 界面管理我的 SIP 服务器。
我的设置如下:
Hyper-V 主机有 2 个接口:192.168.2.XXX(内部)和 8.8.8.YYY(外部)
Hyper-V VM 仅具有内部 IP 地址 - 192.168.2.123,并且我在 RRAS 中为其设置了 NAT 保留,将 192.168.2.123 映射到 8.8.8.123 并允许传入会话。
一切正常,没有问题。但是 HyperV 主机是否可以阻止某些到客户 VM 的流量?我尝试设置 Windows 防火墙规则,如下所示:
block all incoming traffic to local IP address 192.168.2.123 or 8.8.8.123
但它不起作用-我仍然可以访问 Web UI。
答案1
如果您使用 NAT,则不会涉及 Hyper-V 代码。您必须在 NAT 中应用策略。通过使用 NAT,您实际上将虚拟以太网交换机排除在外。
总体而言,Hyper-V 虚拟交换机是可配置的,也就是说,您可以像使用物理交换机一样将策略应用于虚拟网络端口。以下是一般概述的良好链接:
http://technet.microsoft.com/en-us/library/jj679878.aspx
您还可以从多个供应商处获得可插入 Hyper-V 并提供更复杂策略的虚拟交换机扩展。