%20em%20um%20host%20debian%20stretch.png)
Quero garantir que o host não possa acessar a Internet. Embora o tráfego da Internet seja gratuito para viajar de e para o convidado da VM, e o mais importante, quero garantir que o tráfego da Internet não alcance o sistema operacional host. Suponho que a maior parte da minha pergunta aqui é quais regras de iptables são necessárias para que isso aconteça?
Atualmente inicializo em outra partição no disco rígido do host sempre que me conecto à Internet. Desmonto minha partição de dados e desligo muitos serviços. Eu gostaria de fazer a mesma coisa aqui com uma máquina virtual por conveniência.
É possível isolar completamente o sistema operacional host do tráfego da Internet de e para o convidado da VM? Ou é melhor continuar com minha prática atual de reinicializar na outra partição quando precisar ficar on-line.
Responder1
Bloqueando o Host do acesso à rede (ou Internet):
- Habilite
Bridged adapterna configuração da sua VM. Isto permitirá que o seu convidado se conecte à rede independentemente do seu host. - Inicie
iptablesno Host com a seguinte configuração:
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
-A INPUT -i lo -j ACCEPT
- Para bloquear apenas o acesso à Internet enquanto mantém a rede local (digamos
192.168.0.0/24), estenda asiptablesregras com:
-A INPUT -i {your-adapter} -s 192.168.0.0/24 -j ACCEPT
-A OUTPUT -o {your-adapter} -d 192.168.0.0/24 -j ACCEPT
- Certifique-se
iptablesde que esteja habilitado como serviço em seu Host. Você pode usar, por exemplo, packageiptables-persistentpara fornecer um script de serviço que pode ser habilitado emsystemd/initscripts.
Isolando o Host do tráfego da Internet que vai para o Guest:
Como Bridged adaptero tráfego está isolado no espaço do usuário, ele também não passa pelo Host iptables. No entanto, o Guest ainda é executado DENTRO do sistema operacional Host. O invasor com acesso root sempre poderá monitorar e falsificar os dados que o Guest envia ou recebe.Não há isolamento total com o VirtualBox.