我想使用虛擬盒創建一個虛擬機來創建一個黑客實驗室,並允許某人嘗試從互聯網上對其進行黑客攻擊。 (因此虛擬機器將成為受害者)。我怎樣才能做到這一點?我猜我的區域網路中的所有裝置、虛擬機器都共用一個唯一的 IP,那麼我該如何公開我的虛擬機器呢?有辦法嗎?我應該設定連接埠轉送還是使用其他配置?如果這是一個愚蠢的問題,我深表歉意。如果可能的話希望有人能幫助我。提前致謝。
答案1
你應該對你計劃要做的事情非常小心。如果您想將虛擬機器暴露在網路上,您應該絕對確保虛擬機器無法與網路中的其他裝置通訊。儘管如此,攻擊者將能夠利用您的網路連線進行非法活動。這種情況很難避免,並且需要對網路技術有深入的了解。總而言之,我的建議是:不要這樣做,除非你絕對知道自己在做什麼。
答案2
您有什麼類型的路由器設備?您有 shell 存取權限嗎?
我必須幫助某人從互聯網上完全訪問他們的盒子。我無法在路由器的 Web UI 中找到選項(運行 Tomato),因此我直接應用了更改,然後將更改保存在/etc/iptables。當配置變更時,這些變更將被擦除,儘管這可能不是問題,具體取決於您選擇的路由器。
當封包離開您的網路前往網際網路時,SNAT 規則會使封包看起來像是來自您的本機位址(在本例中被檢視為 1.1.1.1)。許多 Linux 路由器發行版喜歡使用 SNAT 來實現連接埠轉發,而不是預設可以找到的 MASQUERADE 規則。
iptables -t nat -I POSTROUTING -s 192.168.0.0/24 -o vlan1 -j SNAT --to-source 1.1.1.1
當外部有人嘗試連線到您的公用 IP 時,連線將傳送到本機 (192.168.0.123)。在它到達機器之前,它必須先被FORWARD鏈接受。
iptables -t nat -A PREROUTING -d 1.1.1.1 -j DNAT --to-destination 192.168.0.123
如果它被接受,則轉發到本機。
iptables -A FORWARD -d 192.168.0.123 -j ACCEPT
對於您的蜜罐示例,您可能需要像我上面發布的那樣的全局接受,但對於我的用例,我想限制對已知可信任 IP 的訪問,而不是使用以下內容:
iptables -A FORWARD -d 192.168.0.123 -s 2.2.2.2 -j ACCEPT
如果您絕對允許任何人連接到您的位置,我會將其放置在與您的普通電腦完全獨立的子網路/衝突域中,並讓您的iptables設定禁止對該網域的所有存取。