Portál AbcLinuxu, 16. května 2024 08:05


Dotaz: limitacia virtualbox guesta host firewallom

31.3. 01:11 steve_balmer
limitacia virtualbox guesta host firewallom
Přečteno: 521×
Odpovědět | Admin
Zdravim

Mam virtualbox, v nom guest WindowsXP s priemyselnym sw na obsluhu zariadenia a chcem obmedzit guesta na komunikaciu s jedinou IP zariadenia, jedineho portu... lebo bezpecnost. Distibucia je aktualna Fedora.

A asi neviem spravne googlit, ale vsetky vysledky sa obmedzuju len na vysvetlovanie rozdielov v networkingu a linku sem https://www.virtualbox.org/manual/ch06.html Je mi jedno ako bude guest WindowsXP pripojeny do siete, NAT/bridge..

Predpokladam, ze nejako ten packet lezie z virtualboxu do sietoveho stacku Linuxu, ale nenasiel som ziadny priklad, ktory by ukazoval na nejake virtualne zariadenie, alebo obmedzoval nejaky proces "vb_network_card".

ip link show aj tcpdump -D ukazuju standardne zariadenia, nic s virtualboxom.

Nejake nakopnutie?
Nástroje: Začni sledovat (0) ?Zašle upozornění na váš email při vložení nového komentáře.

Odpovědi

31.3. 09:47 X
Rozbalit Rozbalit vše Re: limitacia virtualbox guesta host firewallom
Odpovědět | | Sbalit | Link | Blokovat | Admin
limitacia virtualbox guesta host firewallom
Max avatar 2.4. 09:10 Max | skóre: 72 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: limitacia virtualbox guesta host firewallom
Odpovědět | | Sbalit | Link | Blokovat | Admin
Když dáš síť do bridge, tak nemůžeš použít iptables, jelikož bridge funguje na L2. Musíš použít ebtables, nebo si povolit filtrování bridge přes iptables. Tj. toto mi třeba funguje s kvm, kde mám VM v bridge: 
# povolíme filtrování bridge přes iptables
modprobe br_netfilter
echo 1 > /proc/sys/net/bridge/bridge-nf-call-iptables

# nastavíme v rámci iptables forwarde pravidlo (192.168.1.1 = WinXP):
iptables -A FORWARD -p tcp -m multiport --dports 80,443 -s 192.168.1.1 -d 8.8.8.8 -j DROP
Předpokládám, že Virtualbox bude v bridge fungovat shodně.
Zdar Max
Měl jsem sen ... :(
vencour avatar 10.4. 21:04 vencour | skóre: 56 | blog: Tady je Vencourovo | Praha+západní Čechy
Rozbalit Rozbalit vše Re: limitacia virtualbox guesta host firewallom
Odpovědět | | Sbalit | Link | Blokovat | Admin
Kdybych tak znal celé zapojení ...
Lze mít bridge bez IP adresy v hostitelském stroji (hypervizoru) a host bude mít adresu ve vlan s tím železem které má spravovat. Přístup třeba přes vnc.
Hostitel by měl mít aspoň dvě fyzické síťovky nebo trunk.
Ty nejhlubší objevy nečekají nutně za příští hvězdou. Jsou uvnitř nás utkány do vláken, která nás spojují, nás všechny.

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.