Могу ли я передать Интернет-соединение на виртуальную машину, но запретить его на хосте?

Question

У меня следующая ситуация.

У меня есть одна физическая машина, которая подключена к Интернету.

Он запускает одну виртуальную машину, которую можно использовать для подключения к Интернету.

Я хочу отключить интернет-соединение на хост-машине, но только перенаправить его на виртуальную машину.

Есть ли какая-то хитрость, умная конфигурация, запись в реестре или что-то, что "нарушает" доступ в Интернет на хост-компьютере ко всем приложениям, процессам и службам, но позволяет использовать его только с виртуальной машины?

По сути, я хочу иметь безопасную рабочую среду на физической машине и иметь изолированное виртуальное пространство для просмотра.

Технология виртуализации - Hyper-V.

ОБНОВИТЬ:

У моего хост-компьютера фактически есть два физических сетевых адаптера:

• Адаптер Intel WLAN
• Гигабитный Ethernet-адаптер

В настоящее время я использую соединение WLAN с маршрутизатором. Ethernet не используется.

Answer 1

Правильный способ сделать это - иметь два сетевых адаптера на вашем сервере. Hyper-V позволяет гостевым ОС эксклюзивно использовать сетевой адаптер на хосте, поэтому хост вообще не сможет использовать этот адаптер.

Просто снимите флажок Allow management operating system to share this network adapter

Если вы готовы жить без доступа к сети, вы можете просто снять этот флажок для единственного адаптера в вашей системе. Если вам это нужно, просто временно установите этот флажок и снимите флажок, когда закончите.

Answer 2

Проще всего сделать это с помощью фильтрации IP-адресов или прокси-доступа.

• Разрешите доступ только через прокси и настройте его внутри виртуальной машины, но не на хосте.
• позвольте виртуальной машине получить свой собственный (статический) IP-адрес и открыть Internetaccess для этого IP-адреса на сетевом брандмауэре, но не на вашей физической машине.

Вы даже можете сделать это, настроив прокси на своем физическом компьютере. У меня был Java-интерфейс, который позволял различать маршрутизацию и локальный доступ. Так что это поможет и твоему. Не могу вспомнить имя, хотя.

Answer 3

Какую хостовую ОС вы используете? Это кажется довольно важным в этом случае. Я принимаю Windows в качестве хоста. Гостевая ОС не актуальна, я думаю. Если это работает, это работает. Ваш вопрос касается брандмауэра, так как он касается исходящего трафика.

Существует два типа (программных) брандмауэра. Первый тип блоков по номеру порта. Http-трафик - это порт 80, а https - это порт 443, хотя иногда используются также 8080 и 8443. FTP - это порт 21, ssh - 22 и т.д. Это бесполезно для вас. Если вы заблокируете порт 80 на хосте, гость также будет заблокирован.

Брандмауэр второго типа блокируется приложением. Поэтому, если вы используете firefox на хосте и открываете веб-страницу, брандмауэр замечает этот запрос и спрашивает вас, что делать. Вы можете заблокировать это, и вы можете установить его, чтобы заблокировать все приложения, кроме одного: приложение VM. Поэтому, если вы используете Virtualbox и открываете веб-страницу в firefox в гостевой системе, которая работает в Virtualbox, я думаю (но не уверен на 100%), что брандмауэр хоста будет воспринимать это как запрос от Virtualbox, а не от firefox. Тогда вы разрешите этот трафик.

Бесплатные межсетевые экраны, такие как Comodo, могут сделать это. OSX имеет встроенный межсетевой экран, который может сделать это. Вероятно, встроенный брандмауэр Windows может сделать это. Я предполагаю, что будет брандмауэр, который может сделать то же самое в Ubuntu. Поэтому я думаю, что это можно сделать в любой операционной системе.