Danh sách truy cập cổng Hyper-V không cho phép lưu lượng truy cập qua cổng

Một tình huống: Mạng cục bộ 192.168.0.0/16 được chia thành nhiều mạng con và các bộ định tuyến được đặt đúng chỗ. Một máy ảo được lưu trữ Hyper-V được đặt trong mạng con 192.168.X.0 / 24. Nhiệm vụ được đưa ra để giới hạn quyền truy cập vào VM này từ tất cả các máy chủ ngoại trừ một danh sách đã cho, chứa địa chỉ IP từ các mạng con 192.168.Y.0 / 24, trong đó Y khác với X và truy cập mạng vào mạng con 192.168.Y.0 / 24 được định tuyến. Cấu hình mạng của VM như sau:

IPv4 Address: 192.168.X.10
Subnet mask: 255.255.255.0
Default gateway: 192.168.X.1

Vì vậy, tôi thực hiện các thay đổi sau trên cổng Hyper-V ACL:

Add-VMNetworkAdapterAcl -vm $vm -RemoteIPAddress 192.168.Y.Z -action allow -direction both
Add-VMNetworkAdapterAcl -vm $vm -RemoteIPAddress any -action deny -direction both

Thật ngạc nhiên ping 192.168.Y.Z cho thấy "Máy chủ đích không thể truy cập được" từ VM, đồng thời ping VM từ máy chủ đó cũng trả về như vậy. Mặt khác, nếu tôi thêm một mục ACL vào 192.168.X.Z với cùng một VM, thay đổi cho phép VM nhìn thấy máy chủ mà không gặp rắc rối.

Giải pháp là thêm một mục nhập ACL cho cổng mặc định của VM hoặc, trong trường hợp tuyến tùy chỉnh đến mạng con 192.168.Y, địa chỉ IP của đích tuyến, để cho phép các gói được định tuyến đến máy chủ từ xa.

Add-VMNetworkAdapterAcl -vm $vm -RemoteIPAddress 192.168.X.1 -action allow -direction both

Đáng buồn thay, điều này không được đề cập trong bất kỳ hướng dẫn nào để định cấu hình ACL cho Hyper-V, có lẽ là do các mạng LAN trong các hướng dẫn này đơn giản nhất có thể và không chứa các phân đoạn được định tuyến.