Я хочу убедиться, что хост не может получить доступ к Интернету. В то время как интернет-трафик может свободно перемещаться к гостю vm и от него, и что еще более важно, я хочу убедиться, что интернет-трафик не может достигнуть операционной системы хоста. Я предполагаю, что основная часть моего вопроса заключается в том, какие правила iptables необходимы, чтобы это произошло?

В настоящее время я загружаюсь в другой раздел на жестком диске хоста всякий раз, когда я подключаюсь к Интернету. Я размонтирую раздел данных и отключу многие службы. Я хотел бы сделать то же самое здесь вместо виртуальной машины для удобства.

Можно ли полностью изолировать хост-ОС от интернет-трафика, идущего к гостевой виртуальной машине и от нее? Или мне лучше остаться с моей текущей практикой перезагрузки в другой раздел, когда мне нужно выйти в интернет.

|источник

1 ответ1

0

Блокировка хоста от сетевого (или интернет) доступа:

  1. Включите Bridged adapter в конфигурации вашей виртуальной машины. Это позволит вашему гостю подключаться к сети независимо от вашего хоста.
  2. Запустите iptables на хосте со следующей конфигурацией:

:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]

-A INPUT -i lo -j ACCEPT
  1. Чтобы заблокировать только доступ в Интернет при сохранении локальной сети (скажем, 192.168.0.0/24), расширьте правила iptables :

-A INPUT -i {your-adapter} -s 192.168.0.0/24 -j ACCEPT
-A OUTPUT -o {your-adapter} -d 192.168.0.0/24 -j ACCEPT
  1. Убедитесь, что iptables включен в качестве службы на вашем хосте. Например, вы можете использовать пакет iptables-persistent чтобы предоставить вам служебный скрипт, который можно включить в systemd / initscripts .

Изоляция хоста от интернет-трафика, идущего к гостю:

При использовании Bridged adapter трафик изолирован в пространстве пользователя, он также не проходит через iptables хоста. Однако Гость все еще работает ВНУТРИ ОС хоста. Злоумышленник с root-доступом всегда сможет отслеживать и подделывать данные, которые гость отправляет или получает. В VirtualBox нет полной изоляции.

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .