Cómo crear un entorno limitado de Internet virtualbox vm (invitado de Linux) en un host extensible de Debian

tag-icon tag-icon networking virtualbox debian virtual-machine iptables
Cómo crear un entorno limitado de Internet virtualbox vm (invitado de Linux) en un host extensible de Debian

Quiero asegurarme de que el anfitrión no pueda acceder a Internet. Si bien el tráfico de Internet puede viajar libremente hacia y desde la máquina virtual invitada, y lo que es más importante, quiero asegurarme de que el tráfico de Internet no pueda llegar al sistema operativo host. Supongo que la mayor parte de mi pregunta aquí es ¿qué reglas de iptables se necesitan para que esto suceda?

Actualmente inicio en otra partición del disco duro del host cada vez que me conecto a Internet. Desmonto mi partición de datos y cierro muchos servicios. Me gustaría hacer lo mismo aquí con una máquina virtual por conveniencia.

¿Es posible aislar completamente el sistema operativo host del tráfico de Internet que va hacia y desde la máquina virtual invitada? ¿O es mejor seguir con mi práctica actual de reiniciar en la otra partición cuando necesito conectarme?

Respuesta1

Bloquear el acceso al Host a la red (o Internet):

  1. Habilite Bridged adapteren la configuración de su VM. Esto permitirá que su Invitado se conecte a la red independientemente de su Anfitrión.
  2. Comience iptablesen Host con la siguiente configuración:

:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]

-A INPUT -i lo -j ACCEPT
  1. Para bloquear solo el acceso a Internet mientras se mantiene la red local (digamos 192.168.0.0/24), amplíe las iptablesreglas con:

-A INPUT -i {your-adapter} -s 192.168.0.0/24 -j ACCEPT
-A OUTPUT -o {your-adapter} -d 192.168.0.0/24 -j ACCEPT
  1. Asegúrese de iptablesque esté habilitado como servicio en su Host. Puede utilizar, por ejemplo, el paquete iptables-persistentpara proporcionarle un script de servicio que se puede habilitar en systemd/ initscripts.

Aislar al Anfitrión del tráfico de Internet que se dirige al Invitado:

Como Bridged adapterel tráfico está aislado en el espacio de usuario, tampoco pasa por el Host iptables. Sin embargo, el Invitado todavía se ejecuta DENTRO del SO Anfitrión. Un atacante con acceso root siempre podrá monitorear y falsificar los datos que el Invitado envía o recibe.No existe un aislamiento total con VirtualBox.

información relacionada