Я хотел бы создать виртуальную машину с помощью Virtual Box для создания хакерской лаборатории и позволить кому-то попытаться взломать ее из Интернета. (Так что виртуальная машина станет жертвой). Как я могу это сделать? Все устройства в моей локальной сети, включая виртуальные машины, имеют уникальный IP, я полагаю, так как я могу раскрыть свою виртуальную машину? Есть ли способ? Мне следует настроить переадресацию портов или использовать какую-то другую конфигурацию? Прошу прощения, если это глупый вопрос. Надеюсь, кто-нибудь сможет мне помочь, если это возможно. Заранее спасибо.
решение1
Вам следует быть очень осторожным в своих планах. Если вы хотите выставить виртуальную машину в интернет, вы должны быть абсолютно уверены, что виртуальная машина не сможет взаимодействовать с другими устройствами в вашей сети. Тем не менее, злоумышленник сможет использовать ваше интернет-соединение для незаконной деятельности. Это будет трудно предотвратить, и для этого потребуется глубокое понимание сетевых технологий. В общем, мой совет: не делайте этого, если вы не уверены в том, что делаете.
решение2
Какое устройство у вас для маршрутизатора? У вас есть доступ к оболочке?
Мне нужно было помочь кому-то получить полный доступ к его ящику из интернета. Я не смог найти опцию в веб-интерфейсе маршрутизатора (на котором работает Tomato), поэтому я применил изменения напрямую, а затем сохранил свои изменения в/etc/iptables. Эти изменения будут стерты при изменении конфигурации, хотя это может и не быть проблемой в зависимости от выбранного вами маршрутизатора.
Правило SNAT заставляет пакет выглядеть так, будто он пришел с вашего локального адреса (в данном случае цензурированного до 1.1.1.1), когда пакет покидает вашу сеть и направляется в Интернет. Многие дистрибутивы маршрутизаторов Linux любят реализовывать переадресацию портов с помощью SNAT вместо правила MASQUERADE, которое можно найти по умолчанию.
iptables -t nat -I POSTROUTING -s 192.168.0.0/24 -o vlan1 -j SNAT --to-source 1.1.1.1
Когда кто-то извне пытается подключиться к вашему публичному IP, соединение отправляется на локальную машину (192.168.0.123). Прежде чем оно достигнет машины, оно должно быть сначала принято цепочкой FORWARD.
iptables -t nat -A PREROUTING -d 1.1.1.1 -j DNAT --to-destination 192.168.0.123
Если это так, то сообщение принимается и пересылается на локальный компьютер.
iptables -A FORWARD -d 192.168.0.123 -j ACCEPT
Для вашего примера с приманкой вам может понадобиться глобальное принятие, как я описал выше, хотя в моем случае я хотел ограничить доступ известным доверенным IP-адресом, вместо этого используя это:
iptables -A FORWARD -d 192.168.0.123 -s 2.2.2.2 -j ACCEPT
Если вы позволяете подключаться к вашему местоположению кому угодно, я бы поместил его в совершенно отдельную подсеть/коллизионный домен по отношению к вашим обычным компьютерам и запретил бы iptablesлюбой доступ к этому домену.