Como bloquear o acesso à rede somente de host “privada” da interface nat do VirtualBox (redes separadas somente de host)?

1

Cenário: 1 host do VirtualBox com muitos vms. Diferentes redes somente de host são configuradas para diferentes categorias de vm: Algumas vms são "privadas", outras são vms "padrão". A maioria desses vms, incluindo alguns dos vms privados, também tem uma interface nat porque eles precisam estar conectados à Internet.

Qual é a maneira recomendada de impedir que vms privadas acessem vms padrão (e vice-versa) através de sua interface nat?

Exemplo:

  • 2 redes somente de host:
    • vboxnet0 (192.168.56.0/24)="privado"
    • vboxnet1 (192.168.57.0/24)="padrão"
  • A VM # 1 (privada de vm com acesso à Internet) possui duas interfaces virtuais:
    • NAT (10.0.2.0/24) para acesso à Internet
    • Rede somente para host vboxnet0
  • A VM # 2 (vm privada) está configurada como vm # 1.
  • VM # 3 (vm privada sem acesso à Internet) possui 1 interface virtual:
    • Rede somente para host vboxnet0
  • A VM # 4 (vm padrão) tem duas interfaces virtuais:
    • NAT (10.0.2.0/24) para acesso à Internet
    • Rede somente para host vboxnet1
  • A VM # 5 (vm padrão) está configurada como vm # 4.
  • O acesso à Internet é fornecido pelo gateway padrão do host vm.
    • host da VM: 192.168.0.100
    • Gateway: 192.168.0.1
  • Algumas vms não têm firewall ativado e algumas vms não são confiáveis, portanto, nada deve ser alterado nos sistemas convidados.
  • O sistema host é executado no Linux e usa o iptables.

A VM # 3 está isolada, não tem acesso a nada, exceto 192.168.56.0/24. Além disso, as vms # 1 e # 2 podem falar umas com as outras (como # 4 e # 5), o que é bom.

No entanto, a vm # 1 privada pode atingir o padrão vm # 4. Ele também pode falar com o ip 192.168.57.1 do host e com seu ip físico 192.168.0.100, ignorando as regras de firewall que impedem que vms privadas acessem serviços no host. Nesse cenário, vms privadas com acesso à Internet não devem poder ter acesso à sub-rede padrão (vboxnet1) ou a outras sub-redes vm. Em outras palavras, sua interface NAT só deve permitir que eles alcancem 192.168.0.1 para ter acesso à Internet, mas não a qualquer outra rede (local).

É possível restringir a interface NAT virtual assim?

    
por basic6 12.03.2016 / 19:03

0 respostas