Debian Stretch ホスト上に VirtualBox VM インターネットサンドボックス (Linux ゲスト) を作成する方法

Question

ホストのネットワーク（またはインターネット）アクセスをブロックする:

VM の構成で有効にしますBridged adapter。これにより、ゲストはホストから独立してネットワークに接続できるようになります。
iptables次の構成でホスト上で起動します。


:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]

-A INPUT -i lo -j ACCEPT

ローカルネットワーク (とします192.168.0.0/24)を維持しながらインターネットアクセスのみをブロックするには、iptables次のようにルールを拡張します。


-A INPUT -i {your-adapter} -s 192.168.0.0/24 -j ACCEPT
-A OUTPUT -o {your-adapter} -d 192.168.0.0/24 -j ACCEPT

がホスト上のサービスとして有効になっていることを確認してくださいiptables。たとえば、パッケージを使用して、/iptables-persistentで有効にできるサービススクリプトを提供できます。systemdinitscripts

ゲストに送信されるインターネットトラフィックからホストを分離する:

Bridged adapterトラフィックはユーザー空間で分離されているため、ホストを通過するiptablesこともありません。ただし、ゲストはホスト OS 内で実行されます。ルートアクセス権を持つ攻撃者は、ゲストが送受信するデータを常に監視および偽装できます。VirtualBox では完全な分離は実現できません。

Answer 1

ホストのネットワーク（またはインターネット）アクセスをブロックする:

VM の構成で有効にしますBridged adapter。これにより、ゲストはホストから独立してネットワークに接続できるようになります。
iptables次の構成でホスト上で起動します。


:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]

-A INPUT -i lo -j ACCEPT

ローカルネットワーク (とします192.168.0.0/24)を維持しながらインターネットアクセスのみをブロックするには、iptables次のようにルールを拡張します。


-A INPUT -i {your-adapter} -s 192.168.0.0/24 -j ACCEPT
-A OUTPUT -o {your-adapter} -d 192.168.0.0/24 -j ACCEPT

がホスト上のサービスとして有効になっていることを確認してくださいiptables。たとえば、パッケージを使用して、/iptables-persistentで有効にできるサービススクリプトを提供できます。systemdinitscripts

ゲストに送信されるインターネットトラフィックからホストを分離する:

Bridged adapterトラフィックはユーザー空間で分離されているため、ホストを通過するiptablesこともありません。ただし、ゲストはホスト OS 内で実行されます。ルートアクセス権を持つ攻撃者は、ゲストが送受信するデータを常に監視および偽装できます。VirtualBox では完全な分離は実現できません。

Debian Stretch ホスト上に VirtualBox VM インターネットサンドボックス (Linux ゲスト) を作成する方法

答え1

関連情報