ハッキング ラボを作るために、Virtual Box を使用して仮想マシンを作成し、インターネットから誰かがハッキングできるようにしたいと思います。(つまり、仮想マシンが被害者になります)。どうすればいいでしょうか。私の LAN 内のすべてのデバイス、仮想マシンは、おそらく一意の IP を共有していると思いますが、どうすれば仮想マシンを公開できるでしょうか。方法はあるのでしょうか。ポート転送を設定するか、他の構成を使用する必要がありますか。愚かな質問でしたらお詫び申し上げます。可能であれば、どなたか助けていただければ幸いです。よろしくお願いします。
答え1
計画していることについては、十分に注意する必要があります。VM をインターネットに公開する場合は、VM がネットワーク内の他のデバイスと通信できないようにする必要があります。それでも、攻撃者はインターネット接続を違法な活動に利用することができます。これを防ぐのは困難であり、ネットワーク技術をしっかりと理解する必要があります。全体として、私のアドバイスは、自分が何をしているのかを完全に理解していない限り、実行しないことです。
答え2
ルーターにはどのようなデバイスをお持ちですか? シェル アクセスはありますか?
私は、インターネットからボックスにフルアクセスできるように誰かを助けなければなりませんでした。ルーターのWeb UI(Tomatoを実行)でオプションを見つけることができなかったので、変更を直接適用し、変更を保存しました。iptables の設定これらの変更は、構成が変更されると消去されますが、ルーターの選択によっては問題にならない場合があります。
SNAT ルールにより、パケットがネットワークからインターネットに向けて送信されるときに、パケットがローカル アドレス (この場合は 1.1.1.1 に検閲) から送信されたように見えます。多くの Linux ルーター ディストリビューションでは、デフォルトで見つかる MASQUERADE ルールの代わりに、SNAT を使用してポート転送を実装します。
iptables -t nat -I POSTROUTING -s 192.168.0.0/24 -o vlan1 -j SNAT --to-source 1.1.1.1
外部から誰かがパブリック IP に接続しようとすると、接続はローカル マシン (192.168.0.123) に送信されます。マシンに到達する前に、まず FORWARD チェーンによって受け入れられる必要があります。
iptables -t nat -A PREROUTING -d 1.1.1.1 -j DNAT --to-destination 192.168.0.123
成功した場合は受け入れられ、ローカル マシンに転送されます。
iptables -A FORWARD -d 192.168.0.123 -j ACCEPT
ハニーポットの例では、上で投稿したようなグローバル accept が必要な場合がありますが、私のユースケースでは、代わりに次のようにして既知の信頼できる IP へのアクセスを制限したいと考えました。
iptables -A FORWARD -d 192.168.0.123 -s 2.2.2.2 -j ACCEPT
誰でも自分の場所に接続できるようにする場合は、通常のコンピューターとはまったく別のサブネット/衝突ドメインに配置し、iptablesそのドメインへのアクセスをすべて禁止するように設定することをお勧めします。