如何在Azure中阻止端口公开并允许Vnet内的端口?

时间:2019-10-29 11:46:16

标签: azure virtual-machine network-security-groups

我已经在Azure中设置了站点到点VPN。 我想允许使用VPN客户端登录的用户使用端口3389、22、5432、8080,同时只允许该VM在公共IP上使用端口8080。这些配置可以在NSG上完成 我该如何实现?

在“ VM / Networking”(虚拟机/网络)选项卡中,我可以看到NSG连接到子网,另一个NSG连接到NIC。

2 个答案:

答案 0 :(得分:0)

首先,在任何可能的情况下,尽量不要将NSG分配给NIC-并不是说这会给 bad 带来麻烦,但这只会增加管理难度。尽管在某些非常严格的安全方案中,这可能是必需的。

您的点对点VPN将由VPN网关提供服务,并且将从客户端地址池中为客户端分配IP地址。

在您的方案中,您将需要创建一个入站规则,以允许从VPN客户端到应用于以下任何和所有NSG的目标VM的内部IP地址的连接:

  • 网关子网
  • VM的NIC的子网
  • 虚拟机的NIC

如果没有将NSG应用于网关子网,则可以保持不变。

您将需要从VPN网关获取客户端地址池,并使用带有CIDR标记的网络地址来填充源CIDR范围。下面的示例:

NSG Rule

确保已为规则分配了适当的优先级,以便在处理任何优先级较高的拒绝操作规则之前对其进行处理。

您可能希望从此规则中排除8080,而是创建一个单独的规则,允许任何源地址对其进行访问。该规则必须存在于子网和NIC NSG上。

答案 1 :(得分:0)

您所需要的只是一条允许从互联网上访问8080的规则,NSG默认规则已经允许在包含VPN网关路由的virtualnetwork标签上进行通信

enter image description here

相关问题
最新问题