Ситуация: Локальная сеть 192.168.0.0/16 разбита на множество подсетей, и маршрутизаторы на месте. Размещенная виртуальная машина Hyper-V расположена в 192.168.Х.0/24 подсеть. Была дана задача ограничить доступ к этой виртуальной машине со всех хостов, кроме заданного списка, который содержит IP-адреса с 192.168.Y.0/24 подсети, где Y отличается от X и сетевой доступ к 192.168.Y.0/24 подсеть маршрутизируется. Конфигурация сети ВМ выглядит следующим образом:

IPv4 Address: 192.168.X.10
Subnet mask: 255.255.255.0
Default gateway: 192.168.X.1

Поэтому я выполняю следующие изменения в ACL порта Hyper-V:

Add-VMNetworkAdapterAcl -vm $vm -RemoteIPAddress 192.168.Y.Z -action allow -direction both
Add-VMNetworkAdapterAcl -vm $vm -RemoteIPAddress any -action deny -direction both

К моему удивлению, ping 192.168.Y.Z показывал "Узел назначения недоступен" от виртуальной машины, а также ping для виртуальной машины с этого узла возвращал то же самое. С другой стороны, если я добавлю запись ACL в 192.168.X.Z для той же виртуальной машины, изменение позволяет виртуальной машине видеть хост без хлопот.

|источник

1 ответ1

1

Решением было добавить запись ACL для шлюза по умолчанию для виртуальной машины или, в случае пользовательского маршрута к 192.168.Y подсеть, IP-адрес назначения маршрута, чтобы разрешить маршрутизацию пакетов на удаленный хост.

Add-VMNetworkAdapterAcl -vm $vm -RemoteIPAddress 192.168.X.1 -action allow -direction both

К сожалению, это не упоминается ни в одном учебном пособии по настройке списков ACL для Hyper-V, возможно, из-за того, что локальные сети в этих учебниках максимально просты и не содержат маршрутизируемых сегментов.

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .