QEMU: Ativar troca de arquivos SFTP (guest ⇆ host), mas proibir o acesso de visitantes à Internet pública?

1

Assumido que eu execute um convidado do Windows em uma máquina QEMU virtual em um host Debian. Por este meio, o host Debian é um computador desktop comum com acesso à internet.

Como posso configurar uma troca de arquivos SFTP entre convidado e host , mas impedir que o convidado (= Windows) acesse a Internet?

  1. Configure uma NIC (Virtual Network Interface, Interface de Rede Virtual) para a máquina Windows pertencente em virt-manager (a configuração padrão é rede NAT com dispositivo virtio )
  2. Instale o driver de rede na máquina convidada (Windows)
  3. Instale o WinSCP na máquina convidada (Windows)

Mas e depois? Onde posso evitar o acesso público à Internet somente para esse hóspede? Isso já é possível em virt-manager sem bagunçar o firewall do host?

Várias outras máquinas convidadas não devem ser afetadas por isso.

    
por Dave 04.10.2018 / 00:08

3 respostas

1

Crie uma nova rede virtual no virt-manager com sua conectividade definida como Rede virtual isolada .

Nesta configuração, as VMs dessa rede só podem acessar outras VMs na mesma rede e no host (usando apenas o endereço IP do host para a rede isolada).

    
por 16.10.2018 / 06:31
2

Eu não uso virtmanager , mas com qemu simples, é muito simples:

qemu-system-x86_64 -net nic -net "user,restrict=on,guestfwd=:10.0.2.1:22-cmd:netcat 127.0.0.1 22,hostfwd=::2222-:22" -enable-kvm   ...  -m 4G -hda windows.qcow2 

Isso é usando o "modo de usuário" (slirp) de rede com o modo "restrito" ativado e faz alguns encaminhamentos.

Para se conectar com ssh / scp / sftp do host ao convidado, use ssh -p 2222 localhost e scp -P 2222 from_file localhost:to_file .

Para se conectar do convidado ao host, use ssh 10.0.2.1 (ou defina 10.0.2.1 como o host na caixa de diálogo de putty ou winscp )

Para o sinal restrict=on , dê uma olhada na minha resposta aqui . Isso pode estar mais perto do que você realmente precisa do que scp ou sftp .

    
por 04.10.2018 / 01:02
1

Uma maneira simples é remover o gateway padrão das configurações da máquina do Windows. Isso removerá a rota padrão e só poderá acessar a "rede local". Talvez seja necessário fazer o mesmo para o IPv4 e o IPv6 e desativar qualquer método de aquisição de endereço automático.

    
por 04.10.2018 / 01:10