Assumido que eu execute um convidado do Windows em uma máquina QEMU virtual em um host Debian. Por este meio, o host Debian é um computador desktop comum com acesso à internet.
Como posso configurar uma troca de arquivos SFTP entre convidado e host , mas impedir que o convidado (= Windows) acesse a Internet?
virt-manager (a configuração padrão é rede NAT com dispositivo virtio ) Mas e depois? Onde posso evitar o acesso público à Internet somente para esse hóspede? Isso já é possível em virt-manager sem bagunçar o firewall do host?
Várias outras máquinas convidadas não devem ser afetadas por isso.
Eu não uso virtmanager , mas com qemu simples, é muito simples:
qemu-system-x86_64 -net nic -net "user,restrict=on,guestfwd=:10.0.2.1:22-cmd:netcat 127.0.0.1 22,hostfwd=::2222-:22" -enable-kvm ... -m 4G -hda windows.qcow2
Isso é usando o "modo de usuário" (slirp) de rede com o modo "restrito" ativado e faz alguns encaminhamentos.
Para se conectar com ssh / scp / sftp do host ao convidado, use ssh -p 2222 localhost e scp -P 2222 from_file localhost:to_file .
Para se conectar do convidado ao host, use ssh 10.0.2.1 (ou defina 10.0.2.1 como o host na caixa de diálogo de putty ou winscp )
Para o sinal restrict=on , dê uma olhada na minha resposta aqui . Isso pode estar mais perto do que você realmente precisa do que scp ou sftp .
Uma maneira simples é remover o gateway padrão das configurações da máquina do Windows. Isso removerá a rota padrão e só poderá acessar a "rede local". Talvez seja necessário fazer o mesmo para o IPv4 e o IPv6 e desativar qualquer método de aquisição de endereço automático.