Как заблокировать порты от общего доступа и разрешить порты в Vnet в Azure? - PullRequest
0 голосов
/ 29 октября 2019

Я установил VPN типа «точка-точка» в Azure. Я хочу разрешить порты 3389, 22, 5432, 8080 для пользователей, которые входят в систему с помощью VPN-клиента, и в то же время разрешить только порт 8080 на общедоступном IP-адресе для этой виртуальной машины. Эти настройки можно выполнить в NSG. Как мне этого добиться?

На вкладке VM / Networking я вижу NSG, подключенный к подсети, и другой NSG, подключенный к NIC.

Ответы [ 2 ]

0 голосов
/ 30 октября 2019

Все, что вам нужно, это правило, разрешающее 8080 из Интернета, правило NSG по умолчанию уже разрешает обмен данными по тегу виртуальной сети, который включает маршруты шлюза VPN

enter image description here

0 голосов
/ 29 октября 2019

Во-первых, везде, где это возможно, старайтесь не назначать NSG сетевым картам - это не значит, что плохая практика просто увеличивает трудность управления. Хотя в некоторых очень жестких сценариях безопасности это может быть необходимо.

Ваша VPN-точка-точка будет обслуживаться шлюзом VPN, и клиентам будет выдаваться IP-адрес из клиентского пула адресов.

В вашем сценарии вам потребуется создать правило для входящих подключений, чтобы разрешить подключения VPN-клиентов к внутреннему IP-адресу целевой виртуальной машины в любом и всех NSG, которые применяются к:

  • Шлюзуподсеть
  • Подсеть NIC виртуальной машины
  • NIC виртуальной машины

Если к подсети Gateway не применен NSG, вы можете оставить его какэто так.

Вам потребуется получить пул адресов клиента от шлюза VPN и использовать сетевой адрес с нотацией CIDR для заполнения диапазона исходного CIDR. Пример ниже:


NSG Rule


Убедитесь, что вы присвоили правилу соответствующий приоритет, чтобы оно обрабатывалось до любого отклоненияправила действий, которые могут иметь приоритет.

Возможно, вы захотите исключить 8080 из этого правила и вместо этого создать отдельное правило, которое разрешит доступ к нему любому адресу источника. Это правило должно существовать в подсети и NSG NIC.

Добро пожаловать на сайт PullRequest, где вы можете задавать вопросы и получать ответы от других членов сообщества.
...