Quiero ejecutar una aplicación que no es de confianza en una máquina virtual Linux (el host es Windows 10 con VirtualBox). Necesita acceso a otro servidor en mi LAN, pero quiero bloquear cualquier otro acceso a la red más allá de este puerto en una IP.
AppArmor no parece permitir restricciones de red tan detalladas.
Prefiero no bloquear todo el acceso a la red del sistema operativo invitado, ya que quiero poder ejecutar, por ejemplo sudo apt-get update, pero si eso es lo mejor que puedo hacer, es aceptable.
¿Cuál es la mejor solución? ¿Quizás un script que establezca reglas temporales de firewall para todo el sistema antes de iniciar este programa?
Respuesta1
Como su VM es Linux, aprovecharía Linux.espacios de nombrespara ejecutar esa aplicación en unen la zona de arenaentorno, por ejemplo utilizandocárcel de fuego. En su caso, un posible enfoque sería crear uninterfaz de red virtualcon un alcance limitado, que sólo puede llegar al otro servidor de su LAN.
Luego inicie su aplicación con Firejail, para que pueda "ver" sólo una interfaz de red: la restringida.
Desde la línea de comando, el comando resultante sería algo así:
firejail --net=veth0 yourapp
Pero también puedes crear un perfil personalizado.