Как создать виртуальную виртуальную машину в режиме песочницы (гостевая ОС Linux) на хосте Debian Stretch

tag-icon tag-icon networking virtualbox debian virtual-machine iptables
Как создать виртуальную виртуальную машину в режиме песочницы (гостевая ОС Linux) на хосте Debian Stretch

Я хочу убедиться, что хост не может получить доступ к интернету. В то время как интернет-трафик может свободно перемещаться в гостевую виртуальную машину и из нее, и что еще важнее, я хочу убедиться, что интернет-трафик не может достичь хостовой ОС. Я предполагаю, что основная часть моего вопроса здесь заключается в том, какие правила iptables нужны, чтобы это произошло?

В настоящее время я загружаюсь в другой раздел на жестком диске хоста всякий раз, когда подключаюсь к Интернету. Я отмонтирую свой раздел данных и отключаю много служб. Я хотел бы сделать то же самое здесь вместо этого с виртуальной машиной для удобства.

Можно ли полностью изолировать хостовую ОС от интернет-трафика, идущего в гостевую виртуальную машину и из нее? Или мне лучше придерживаться моей текущей практики перезагрузки в другой раздел, когда мне нужно выйти в сеть.

решение1

Блокировка доступа хоста к сети (или Интернету):

  1. Включите Bridged adapterв конфигурации вашей виртуальной машины. Это позволит вашему гостю подключаться к сети независимо от вашего хоста.
  2. Запустите iptablesхост со следующей конфигурацией:

:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]

-A INPUT -i lo -j ACCEPT
  1. Чтобы заблокировать только доступ в Интернет, сохранив при этом локальную сеть (скажем 192.168.0.0/24), расширьте iptablesправила следующим образом:

-A INPUT -i {your-adapter} -s 192.168.0.0/24 -j ACCEPT
-A OUTPUT -o {your-adapter} -d 192.168.0.0/24 -j ACCEPT
  1. Убедитесь, iptablesчто включен как служба на вашем хосте. Вы можете использовать, например, пакет, iptables-persistentчтобы предоставить вам скрипт службы, который может быть включен в systemd/ initscripts.

Изоляция Хоста от интернет-трафика, идущего к Гостю:

Поскольку Bridged adapterтрафик изолирован в пользовательском пространстве, он iptablesтакже не проходит через Host. Однако Guest все еще работает ВНУТРИ Host OS. Злоумышленник с правами root всегда сможет отслеживать и подделывать данные, которые Guest отправляет или получает.Полной изоляции в VirtualBox не предусмотрено.

Связанный контент