配置NSG限制VM访问Internet

配置NSG限制VM访问Internet

什么是网络安全组 (NSG)?

http://www.windowsazure.cn/documentation/articles/virtual-networks-nsg

新建一个安全组

New-AzureNetworkSecurityGroup-Name"DMZNSG"-Location"China East"

定义变量

$NSGGroup=Get-AzureNetworkSecurityGroup-NameDMZNSG

配置针对10.0.1.6这台虚拟机Outbound,拒绝访问Internet

$NSGGroup|Set-AzureNetworkSecurityRule-Nameblock-internet-ActionDeny-Protocol *-TypeOutbound-Priority200-SourceAddressPrefix‘10.0.1.6/32‘-SourcePortRange*-DestinationAddressPrefixInternet-DestinationPortRange*

配置针对10.0.1.6这台虚拟机Inbound规则,允许Inbound

$NSGGroup|Set-AzureNetworkSecurityRule-NameAllow-inbound-ActionAllow-Protocol*-TypeInbound-Priority200-SourceAddressPrefix*-SourcePortRange*-DestinationAddressPrefix‘10.0.1.6/32‘-DestinationPortRange*

$NSGGroup|Set-AzureNetworkSecurityGroupToSubnet-VirtualNetworkNamewrf-SubnetNameSubnet-1

测试:

通过远程桌面连接Azure VM,发现虚拟机无法访问外网。

外网可以访问

取消分配Remove-AzureNetworkSecurityGroupAssociation -VirtualNetworkName wrf -SubnetName Subnet-1

然后删除Remove-AzureNetworkSecurityGroup

时间: 2024-10-30 22:42:17

配置NSG限制VM访问Internet的相关文章

使用即时VM访问保护Azure VM

前面和大家了聊了如何对运行在Azure中的工作负载进行全方位的监控,但是想必大家都知道,若要保证系统的正常运行我们不仅要实时的监控系统的负载,还要确保系统的安全.那么接下来我们就一起来看一下如何使用Azure安全中心所提供的即时VM访问( Just in Time VM Access)功能来保护Azure VM 即使VM访问是Azure安全中心中的一个功能,通过即时VM访问,我们可以通过阻止到特定端口的入站流量来在网络级别锁定VM,从而减少对VM的***面,同时他也保持在需要时可以远程访问VM的

如何配置无公网IP地址的云主机访问Internet

抛开云主机环境来说,通常一个办公网络内所有的主机都没有公网IP地址,但他们都能通过具有IP地址的路由器(网关)设备访问Internet,此设备只需要具备NAT和转发功能即可.具有这样功能的设备当然可以用某台计算机代替. 下面是一个最简单的模型: 主机A(服务端): 网卡1:内网IP地址1 网卡2:公网IP地址3或者能访问Internet的某个IP地址3 主机B(客户端): 网卡1:内网IP地址2 主机B想通过主机A访问Internet,只需要主机B指定主机A为网关,主机A能够将来自主机B的包伪装

配置DHCP和NAT,实现用户动态获取IP地址并访问Internet公网

Router作为某企业出口网关.该企业包括两个部门A和B,分别为部门A和B内终端规划两个地址网段:10.10.1.0/25和10.10.1.128/25,网关地址分别为10.10.1.1/25和10.10.1.129/25.部门A内PC为办公终端,地址租用期限为30天,域名为huawei.com,DNS服务器地址为10.10.1.2.部门B地址租用期限为30天,域名为huawei.com,DNS服务器地址为10.10.1.2.企业内地址规划为私网地址,且需要访问Internet公网,因此,需要通

让devstack中的vm访问外网

devstack默认会建立一个Public网络,地址为172.24.4.0/24,但是这个网络并不是运营商分配给我们的网络,所以只能通过nat的方式让devstack建立的虚拟机访问外网. br-ex和br-phy都不需要绑定到任何的物理网卡,所有网络都是内部的. 想让vm通过Public访问外部网络,需要执行如下命令: ifconfig br-ex 172.24.4.1/24 iptables -t nat -I POSTROUTING -s 172.24.4.0/24 -j MASQUERA

华为ONU MA5620配置业务分流(VOIP,IPTV,Internet)

NU业务分流配置: 配置流量模板. 由于VoIP.IPTV.Internet通过同一端口接入,因而需要设置各业务的802.1p优先级.一般优先级按Internet业务.IPTV.VoIP从低到高依次排序.此处设置流量模板索引号分别 为7.8.9,802.1p优先级分别为0.4.6. huawei(config)#traffic table ip index 7 name internet cir 10240 priority 0 priority-policy local-Setting hua

Firewalld开启后,L2TP无法访问Internet

关闭Firewalld时,配置好了L2TP,连接上之后,只需将ppp0设备的包通过iptables的nat表转发出去即可: iptables -t nat -A POSTROUTING -s 172.16.1.0/24 -o eth0 -j MASQUERADE 但是,若开启Firewalld,即使我把ppp0加入开启了masquerade的external区域,仍然无法访问Internet. 请问该如何配置转发规则(最好使用firewall-cmd工具)? firewall-cmd --per

Redis配置以及通过C#访问小试

首先安装一个Ubuntu14.04的虚拟机用来安装Redis.Ubuntu的Unity在虚拟机里面卡爆了,可以通过如下方法安装传统的Gnome界面: sudo aptitude install gnome-session-fallback 安装完成之后可以在登录的地方选择Gnome界面. Redis的编译和安装在Linux下面非常简单,访问redis.io获得稳定版的源代码.现在是redis-2.8.13.tar.gz 下载完成之后,执行如下命令: tar xzf redis-2.8.13.ta

Apache配置SSL 实现https访问

本次坏境:CA和apache为同一台主机 先使本机作为CA服务端: [[email protected]~]#yum -y install openssl openssl-devel [[email protected]~]#vi /etc/pki/tls/openssl.cnf [ CA_default ] dir = ../../CA 改为: [ CA_default ] dir= /etc/pki/CA 为了减少不必要的重复操作,可以预先定义[ req_distinguished_name

ProFTPD配置匿名登录与目录访问权限控制

对ProFTPD服务器配置匿名登录. 查看配置文件proftpd.conf.默认情况下配置文件中的,匿名登录配置User和Group均为ftp.查看/etc/passwd确认用户ftp,是否存在.命令行输入id ftp,查看用户ftp的所在组.查看/etc/group,确定用户组ftp是否存在. 上述步骤中,如果缺少用户或组,新建即可. User    ftp Group ftp UserAlias   anonymous ftp   #设置匿名用户以ftp身份登录 --------------