Я хотел бы создать виртуальную машину, используя виртуальную коробку для создания хакерской лаборатории, и позволить кому-то попытаться взломать ее из Интернета. (Таким образом, виртуальная машина будет жертвой). Как я могу это сделать? Я думаю, что все устройства в моей локальной сети, включая виртуальные машины, имеют уникальный ip, так как я могу предоставить свою виртуальную машину? Есть ли способ? Должен ли я настроить переадресацию портов или использовать другую конфигурацию? Я прошу прощения, если это глупый вопрос. Надеюсь, кто-нибудь может мне помочь, если это возможно. Заранее спасибо.
2 ответа
0
Вы должны быть очень осторожны в том, что вы планируете делать. Если вы хотите выставить виртуальную машину в Интернет, вы должны быть абсолютно уверены, что виртуальная машина не может обмениваться данными с другими устройствами в вашей сети. Тем не менее, злоумышленник сможет использовать ваше интернет-соединение для незаконных действий. Это будет трудно предотвратить, и это требует глубокого понимания сетевых технологий. В общем, мой совет: не делайте этого, если только вы точно не знаете, что делаете.
0
Какое устройство у вас есть для роутера? У вас есть доступ к оболочке?
Я должен был помочь кому-то получить полный доступ к своей коробке из Интернета. Мне не удалось найти параметр в веб-интерфейсе маршрутизатора (с запущенным Tomato), поэтому я применил изменения напрямую, а затем сохранил свои изменения в /etc/iptables. Эти изменения будут стерты при изменении конфигурации, хотя это не может быть проблемой в зависимости от вашего выбора маршрутизатора.
Из-за правила SNAT пакет, кажется, приходит с вашего локального адреса (в данном случае с цензурой на 1.1.1.1), когда пакет покидает вашу сеть для интернета. Многие дистрибутивы Linux-маршрутизаторов предпочитают реализовывать переадресацию портов с помощью SNAT вместо правила MASQUERADE, которое можно найти по умолчанию.
iptables -t nat -I POSTROUTING -s 192.168.0.0/24 -o vlan1 -j SNAT --to-source 1.1.1.1
Когда кто-то извне пытается подключиться к вашему общедоступному IP-адресу, соединение отправляется на локальный компьютер (192.168.0.123). Прежде чем он достигнет машины, он должен быть принят цепью FORWARD.
iptables -t nat -A PREROUTING -d 1.1.1.1 -j DNAT --to-destination 192.168.0.123
Если он делает это принято, пересылается на локальную машину.
iptables -A FORWARD -d 192.168.0.123 -j ACCEPT
Для вашего примера honeypot вам может потребоваться глобальное принятие, как я опубликовал выше, хотя для моего случая использования я хотел ограничить доступ к известному доверенному IP, вместо этого используя это:
iptables -A FORWARD -d 192.168.0.123 -s 2.2.2.2 -j ACCEPT
Если вы разрешаете абсолютно кому-либо подключаться к вашему местоположению, я бы поместил его в совершенно отдельный домен подсети / коллизии с вашими обычными компьютерами и сделал бы, чтобы ваши настройки iptables блокировали весь доступ к этому домену.