Ich betreibe eine Vagrant-VM und versuche, einen netzwerkisolierten Modus einzurichten. Da das Deaktivieren oder Ändern von irgendetwas an der Standard-NAT-Schnittstelle Vagrant beschädigt, habe ich beschlossen, den GESAMTEN Datenverkehr innerhalb der CentOS 7-VM mit Ausnahme der Host-IP zu blockieren.
Machen wir 1.1.1.1 zur IP des Hosts
Dies ist der Befehl, den ich in der CentOS 7-Gast-VM ausprobiere:
sudo firewall-cmd --permanent --direct --add-rule ipv4 filter INPUT 0 -s 1.1.1.1 -j ACCEPT && \
sudo firewall-cmd --permanent --direct --add-rule ipv4 filter OUTPUT 0 -d 1.1.1.1 -j ACCEPT && \
sudo firewall-cmd --permanent --direct --add-rule ipv4 filter INPUT 1 -j DROP && \
sudo firewall-cmd --permanent --direct --add-rule ipv4 filter OUTPUT 1 -j DROP && \
sudo firewall-cmd --reload
Damit kann ich vom Gast aus einen Ping zum Host durchführen, aber nicht vom Host aus einen Ping zum Gast.
Was mache ich falsch? Im Grunde genommen brauche ich nur SSH-, TCP- und UDP-Zugriff auf die VM und den Host.
Antwort1
Es sieht so aus, als ob die Antwort von @djdomi bei mir funktioniert.
Ich habe das Gateway mit dem folgenden Befehl in der VM gelöscht
sudo ip route del 0/0
Das Netzwerk wurde getrennt. Ich konnte jedoch per SSH zugreifen mitvagrant ssh
Anfangs kam ich nicht weiter, als ich versuchte, die VM mit Nmap zu scannen, aber ich verwendete die statische IP des privaten Netzwerks, was nicht funktionierte. Mit der NAT-IP von Vagrant konnte ich vom Host zur VM pingen und Nmap-Scans durchführen.