这是一个创建于 143 天前的主题,其中的信息可能已经有所发展或是发生改变。
我的最终目的是做到类似 PVE 里面的,可以为虚拟机单独设置防火墙配置的效果。想在 Windows Server 2025 下也做到类似的效果。
例如以下,已经在 PVE 上实现
- 禁止虚拟机访问路由器的管理页面
- 禁止访问上级网段的所有设备
我已经在自己电脑上测试过了,直接在防火墙中的添加规则,可以对本机生效,但是对虚拟机无效。
于是我上网搜了相关的文章
但是文章里面提到的"Get-NetFirewallHyperVVMCreator",只返回了一个 WSL ,看不到其他虚拟机的,难道目前只能对 WSL 进行配置吗?
请问有办法做到我想要的效果吗?
 | 1 guochao 143 天前  1 |
 | 2 fantasy0v0 OP @guochao 感谢!我来试试看 |
 | 3 cxxlxx 143 天前 pve 使用桥接模式也可以设置防火墙规则吗 |
 | 4 guochao 143 天前 @cxxlxx 不熟悉 pve ,我就当他是正常的 kvm 虚拟机平台了。我自己是直接用 libvirtd 的 使用 bridge 的话,应该是需要 br_netfilter 模块。pve 应该是自带的,查了一下个别版本可能有 bug 缺少模块,内核升级或者降级试试。 https://wiki.archlinux.org/title/QEMU/Advanced_networking https://unix.stackexchange.com/a/757030 无关,我自己用的 libvirt 的资料 https://libvirt.org/formatnwfilter.html |
 | 5 Yanlongli 143 天前 1 可以的呀,刚好我前段时间弄过 具体规则可以参考 add-VMNetworkAdapterExtendedAcl 下面是演示 add-VMNetworkAdapterExtendedAcl -VMName "Node2" -Action Deny -Direction Outbound -RemoteIPAddress "10.0.0.0/8" -Weight 51 Node2 是虚拟机的名称,10.0.0.0/8 是内网网段 -Weight 51 是规则权重,数值越大的优先级越高。 如果想针对特定主机允许访问,可以放行: Add-VMNetworkAdapterExtendedAcl -VMName "Node2" -Action Allow -Direction Outbound -RemoteIPAddress "10.0.0.5" -Weight 200 注意:-Weight 目前看是不能重复的,也就是不能出现两个相同权重的规则。 |
 | 6 lostc 142 天前 开个网桥 做个禁止访问 哇哇叫 |
Select Language