Como criar uma caixa de proteção de internet virtualbox vm (linux guest) em um host estendido debian

Question

Como criar uma caixa de proteção de internet virtualbox vm (linux guest) em um host estendido debian

#1 resposta do (0 votos)

0

Eu quero garantir que o host não possa acessar a Internet. Enquanto o tráfego da Internet é livre para viajar de e para o convidado vm, e mais importante, quero ter certeza de que o tráfego da Internet não pode alcançar o sistema operacional host. Eu estou supondo que a maior parte da minha pergunta aqui é que regras do iptables são necessárias para que isso aconteça?

Atualmente inicializo em outra partição no disco rígido do host sempre que me conecto à Internet. Eu desmonto minha partição de dados e encerro muitos serviços. Eu gostaria de fazer o mesmo aqui com uma máquina virtual por conveniência.

É possível isolar completamente o sistema operacional hospedeiro do tráfego da Internet que entra e sai do guest da vm? Ou é melhor eu continuar com a minha prática atual de reiniciar a outra partição quando eu precisar ficar on-line.

networking virtualbox debian iptables virtual-machine

por nomadicME 21.06.2017 / 05:11

1 resposta

Tags networking virtualbox debian iptables virtual-machine

A conexão SSH é desconectada ao modificar o arquivo ou diretório do sistema VirtualBox - ajuste de E / S de alto desempenho - é possível?

score 0 · Accepted Answer

Bloqueio de host de acesso à rede (ou Internet):

Ative o Bridged adapter na configuração da sua VM. Isso permitirá que seu convidado se conecte à rede independentemente do seu host.
Inicie iptables no host com a seguinte configuração:


:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]

-A INPUT -i lo -j ACCEPT

Para bloquear apenas o acesso à Internet, mantendo a rede local (digamos 192.168.0.0/24 ), estenda as regras iptables com:


-A INPUT -i {your-adapter} -s 192.168.0.0/24 -j ACCEPT
-A OUTPUT -o {your-adapter} -d 192.168.0.0/24 -j ACCEPT

Verifique se iptables está ativado como um serviço no seu host. Você pode usar, por exemplo, o pacote iptables-persistent para fornecer o script de serviço que pode ser ativado em systemd / initscripts .

Isolando o Host do tráfego da Internet para o Visitante:

Com Bridged adapter o tráfego é isolado no espaço do usuário, ele também não passa pelo iptables do Host. No entanto, o Guest ainda é executado dentro do sistema operacional host. O invasor com acesso root sempre poderá monitorar e falsificar os dados que o Guest envia ou recebe. Não há isolamento total com o VirtualBox.