我在 Azure 中设置了站点对点 VPN。我想为使用 VPN 客户端登录的用户允许端口 3389、22、5432、8080,同时在此 VM 的公共 IP 上只允许端口 8080。这些配置可以在 NSG 上完成 我怎样才能做到这一点?
在 VM/Networking 选项卡中,我可以看到连接到子网的 NSG 和连接到 NIC 的另一个 NSG。
问问题
1363 次
2 回答
0
您只需要一条允许来自 Internet 的 8080 的规则,NSG 默认规则已经允许在包含 VPN 网关路由的虚拟网络标签上进行通信
于 2019-10-29T22:44:25.127 回答
0
首先,尽可能不要将 NSG 分配给 NIC——这并不是说它会造成不好的做法,而是会增加管理难度。尽管在一些非常严格的安全场景中,这可能是必要的。
您的点对点 VPN 将由 VPN 网关提供服务,并且客户端将从客户端地址池中获得一个 IP 地址。
在您的方案中,您需要创建一个入站规则,以允许从 VPN 客户端连接到应用到的任何和所有 NSG 中的目标 VM 的内部 IP 地址:
- 网关子网
- 虚拟机网卡的子网
- 虚拟机的网卡
如果您没有将 NSG 应用于网关子网,则可以保持原样。
您需要从 VPN 网关获取客户端地址池,并使用 CIDR 标记的网络地址来填充源 CIDR 范围。下面的例子:
确保您已为规则分配了适当的优先级,以便在任何可能优先的拒绝操作规则之前对其进行处理。
您可能希望从该规则中排除 8080,而是创建一个允许任何源地址访问它的单独的。此规则需要存在于子网和 NIC NSG 上。
于 2019-10-29T12:17:04.997 回答