这可能有点牵强,也许根本不可能实现。
我有一台虚拟机,上面有文件,但我不想让其他人传输出去 - 他们被允许访问,我只是希望这些文件留在原处,不被复制。考虑到这一点,是否可以限制虚拟机的网络访问,以便我仍然可以允许 RDP 连接(端口 3389),但在登录到该机器时阻止网络访问(即共享等)?
我正在运行 Xenserver 6.2,并且 VM 运行的是启用了 RDS 的 Windows 2012。
答案1
是的,这是可能的,您应该向 Open vSwitch 添加防火墙规则,如下所示;
ovs-ofctl add-flow xenbr0 "dl_src={mac-address} priority=39000 dl_type=0x0800 nw_dst={ip-address} idle_timeout=65000 action=normal"
ovs-ofctl add-flow xenbr0 "dl_src={mac-address} priority=38000 dl_type=0x0800 nw_src=ANY idle_timeout=65000 action=drop"
您将需要保护的服务器 mac 地址放入 {mac-address},并将您希望服务器访问的 IP 放入 {ip-address}。
首先添加所有想要连接的 IP 地址,然后添加 DROP 规则。
注意:不要忘记使用 nw_src 添加源
欲了解更多信息请访问;Ovs 手册
答案2
当你使用rdp连接时,你仍然需要使用账户登录。可以限制该账户以停止对文件的访问。