So erstellen Sie eine Virtualbox-VM-Internet-Sandbox (Linux-Gast) auf einem Debian-Stretch-Host

tag-icon tag-icon networking virtualbox debian virtual-machine iptables
So erstellen Sie eine Virtualbox-VM-Internet-Sandbox (Linux-Gast) auf einem Debian-Stretch-Host

Ich möchte sicherstellen, dass der Host nicht auf das Internet zugreifen kann. Der Internetverkehr kann ungehindert zum und vom VM-Gast fließen, und was noch wichtiger ist: Ich möchte sicherstellen, dass der Internetverkehr das Host-Betriebssystem nicht erreichen kann. Ich vermute, dass der Hauptteil meiner Frage hier lautet, welche iptables-Regeln erforderlich sind, um dies zu erreichen?

Derzeit boote ich in eine andere Partition auf der Host-Festplatte, wenn ich mich mit dem Internet verbinde. Ich hänge meine Datenpartition ab und fahre viele Dienste herunter. Der Einfachheit halber würde ich das Gleiche hier lieber mit einer virtuellen Maschine tun.

Ist es möglich, das Host-Betriebssystem vollständig vom Internetverkehr zum und vom VM-Gast zu isolieren? Oder bleibe ich besser bei meiner aktuellen Vorgehensweise und starte den Computer in die andere Partition neu, wenn ich online gehen muss?

Antwort1

Blockieren des Netzwerk- (oder Internet-)Zugriffs des Hosts:

  1. Aktivieren Sie diese Option Bridged adapterin der Konfiguration Ihrer VM. Dadurch kann Ihr Gast unabhängig von Ihrem Host eine Verbindung zum Netzwerk herstellen.
  2. Starten Sie iptablesauf dem Host mit der folgenden Konfiguration:

:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]

-A INPUT -i lo -j ACCEPT
  1. Um beispielsweise nur den Internetzugang zu blockieren und gleichzeitig das lokale Netzwerk beizubehalten, 192.168.0.0/24erweitern Sie die iptablesRegeln wie folgt:

-A INPUT -i {your-adapter} -s 192.168.0.0/24 -j ACCEPT
-A OUTPUT -o {your-adapter} -d 192.168.0.0/24 -j ACCEPT
  1. Stellen Sie sicher, iptablesdass es als Dienst auf Ihrem Host aktiviert ist. Sie können beispielsweise ein Paket verwenden, iptables-persistentum ein Dienstskript bereitzustellen, das in systemd/ aktiviert werden kann initscripts.

Isolieren des Hosts vom Internetverkehr zum Gast:

Da Bridged adapterder Datenverkehr im Benutzerbereich isoliert ist, läuft er auch nicht durch den Host iptables. Der Gast läuft jedoch weiterhin INNERHALB des Host-Betriebssystems. Angreifer mit Root-Zugriff können die Daten, die der Gast sendet oder empfängt, immer überwachen und fälschen.Bei VirtualBox gibt es keine vollständige Isolierung.

verwandte Informationen