我需要在 VMWare ESXi 6.0 上设置一个可以访问互联网但没有任何 LAN 访问的虚拟机。
这是为了让外部用户远程登录机器并使用互联网工作,但该用户不应具有对 LAN 的任何访问权限。
网络设置很简单。路由器是华为 HG8244H,设置为 192.168.1.1 / 255.255.255.0,没有任何 Microsoft ISA 服务器,我考虑过:
- 将路由器网络掩码更改为 255.255.0.0
- 在 192.168.2.x 网络中设置“外部用户”虚拟机。
- 添加具有两个 IP 地址(192.168.1.x 和 192.168.100.x)的 Linux VM,并使用 iptables 将来自第一个 VM 的任何流量直接转发到路由器,并阻止对 .1 网络的所有其他访问。
这似乎有点过头了,所以我在寻找一个更简单的解决方案。提前谢谢!
答案1
您使用的路由器(华为 HG8244H)的选项似乎有限。
最简单的解决方案是添加小型虚拟机并通过该虚拟机重定向所有流量。
我会安装一个小型的 DD-WRT 客户机(http://www.casler.org/wordpress/?p=15)。与最流行的 Linux 发行版相比,它确实轻量级得多。
配置 dd-wrt 上的 DHCP 服务器以分配不同 IP 范围内的 IP 地址。
将 dd-wrt WAN 接口连接到您当前的网络。在 LAN 接口上连接仅由 dd-wrt 路由器和隔离客户机使用的内部 LAN 网络。
在两个路由器(华为和 dd-wrt)上为所需端口配置端口转发,就可以开始了。
验证其他网络节点是否无法从隔离主机访问,如果不行,则相应地更改 dd-wrt 上的防火墙规则。
注意:任何其他具有相同功能的路由器虚拟设备都足够了。我过去只是亲身体验过 dd-wrt 设备。
答案2
您可以将虚拟机放入非军事区。我会分离 ESXi 主机上的网络端口,并使用专用 DMZ vmnic 创建单独的 vSS。将具有静态 IP 的 VM 添加到此 VM。在路由器上,使用 VM 的静态 IP 作为主机地址创建新的 DMZ 规则。
我建议将子网掩码更改为 255.255.0.0 是没有意义的。
答案3
最简单的方法是在 ESXI 主机 (NIC2) 中有一个单独的网络接口,在 NIC2 上创建一个 VirtualSwitch2,并将 NIC2 连接到您的 DMZ。将您希望此人访问的 VM 放在 VirtualSwitch2 上。
如果您有多个外部 IP,请设置防火墙规则以将到该 IP 的所有流量路由到 DMZ 中的一台主机。
如果您没有多个可用的外部 IP,请为它们提供一个特殊的端口,以便 RDP 除 339 之外,比如 3339 将其重定向到 DMZ 中主机上的 339。
仅配置路由器的问题在于,您还表示不希望有任何方法返回本地局域网。通过在 ESXI 上为该设备提供自己的虚拟交换机,它们将无法看到除 DMZ 上的流量之外的任何流量。如果您不将设备放入某种 DMZ,情况就不会如此。如果您的路由器无法划分出一个端口并将其称为 DMZ,那么您应该停止将家庭级设备用于听起来像商业用途的东西。
答案4
呃,那是打字错误。10gb CNAS 供...内部...使用。外部使用铜线 1G。
我为每台 ESXi 服务器添加了一个 2 端口卡,用于 DMZ 主机。有 2 个 DMZ 交换机,所有服务器都与每个交换机都有连接。