这是一个创建于 105 天前的主题,其中的信息可能已经有所发展或是发生改变。
我的最终目的是做到类似 PVE 里面的,可以为虚拟机单独设置防火墙配置的效果。想在 Windows Server 2025 下也做到类似的效果。
例如以下,已经在 PVE 上实现
- 禁止虚拟机访问路由器的管理页面
- 禁止访问上级网段的所有设备
我已经在自己电脑上测试过了,直接在防火墙中的添加规则,可以对本机生效,但是对虚拟机无效。
于是我上网搜了相关的文章
但是文章里面提到的"Get-NetFirewallHyperVVMCreator",只返回了一个 WSL ,看不到其他虚拟机的,难道目前只能对 WSL 进行配置吗?
请问有办法做到我想要的效果吗?
 |
1
guochao 105 天前  1
|
 |
2
fantasy0v0 OP @guochao 感谢!我来试试看
|
 |
3
cxxlxx 105 天前
pve 使用桥接模式也可以设置防火墙规则吗
|
|
4
guochao 105 天前
@cxxlxx
不熟悉 pve ,我就当他是正常的 kvm 虚拟机平台了。我自己是直接用 libvirtd 的 使用 bridge 的话,应该是需要 br_netfilter 模块。pve 应该是自带的,查了一下个别版本可能有 bug 缺少模块,内核升级或者降级试试。 https://wiki.archlinux.org/title/QEMU/Advanced_networking https://unix.stackexchange.com/a/757030 无关,我自己用的 libvirt 的资料 https://libvirt.org/formatnwfilter.html |
 |
5
Yanlongli 105 天前 1
可以的呀,刚好我前段时间弄过
具体规则可以参考 add-VMNetworkAdapterExtendedAcl 下面是演示 add-VMNetworkAdapterExtendedAcl -VMName "Node2" -Action Deny -Direction Outbound -RemoteIPAddress "10.0.0.0/8" -Weight 51 Node2 是虚拟机的名称,10.0.0.0/8 是内网网段 -Weight 51 是规则权重,数值越大的优先级越高。 如果想针对特定主机允许访问,可以放行: Add-VMNetworkAdapterExtendedAcl -VMName "Node2" -Action Allow -Direction Outbound -RemoteIPAddress "10.0.0.5" -Weight 200 注意:-Weight 目前看是不能重复的,也就是不能出现两个相同权重的规则。 |
 |
6
lostc 105 天前
开个网桥 做个禁止访问 哇哇叫
|
Select Language