Как заблокировать весь трафик на виртуальной машине, кроме IP-адреса хоста?

Fyrie

15.08.2023, 16:27

Я запускаю виртуальную машину Vagrant и пытаюсь использовать изолированный от сети режим. Поскольку отключение или изменение чего-либо с интерфейсом NAT по умолчанию ломает Vagrant, я решил заблокировать ВЕСЬ трафик внутри виртуальной машины CentOS 7, кроме IP-адреса хоста.

Сделаем 1.1.1.1 IP хоста

Это команда, которую я пытаюсь выполнить внутри гостевой виртуальной машины CentOS 7:

sudo firewall-cmd --permanent --direct --add-rule фильтр ipv4 ВВОД 0 -s 1.1.1.1 -j ПРИНЯТЬ && \
sudo firewall-cmd --permanent --direct --add-rule ipv4 filter ВЫВОД 0 -d 1.1.1.1 -j ПРИНЯТЬ && \
sudo firewall-cmd --permanent --direct --add-rule ipv4 filter INPUT 1 -j DROP && \
sudo firewall-cmd --permanent --direct --add-rule фильтр ipv4 ВЫВОД 1 -j DROP && \
sudo firewall-cmd --reload

При этом я могу пинговать гостя с хоста, но не могу пинговать гостя с хоста.

Что я делаю не так? По сути, мне просто нужно иметь доступ по SSH, TCP и UDP к виртуальной машине и хосту.

0 + 0

виртуальные машины

сентос

брандмауэр

djdomi

15.08.2023, 17:11

удалите шлюз по умолчанию и его в основном изолированы. вы также запускаете vlan, чтобы разделить его также

Ответить

Fyrie

15.08.2023, 18:35

Я удалил шлюз по умолчанию, и он работает! Но потом я понял, что nmap не может сканировать цель. ```Ошибочный пакет: TCP 192.168.1.1:44126 > 192.168.1.225:111 S ttl=57 id=39288 iplen=44 seq=1857285822 win=1024 sendto в send_ip_packet_sd: sendto(6, package, 44, 0, 192.168.1.225, 16) => операция не разрешена ```

Ответить

djdomi

17.08.2023, 17:01

я не могу прочитать комментарий, который нужно добавить к вопросу. напомните, чтобы отредактировать вопрос вместо комментария

Ответить

Рейтинг:1

Server

Fyrie

15.08.2023, 19:23

Похоже, ответ @djdomi работает на меня.

Я удалил шлюз с помощью следующей команды в виртуальной машине

sudo IP-маршрут del 0/0

Сеть была отключена. Однако я смог использовать SSH, используя бродячий ssh

Сначала я застрял, пытаясь использовать nmap для сканирования виртуальной машины, но я использовал статический IP-адрес private_network, который не работал. Используя IP-адрес NAT Vagrant, я смог выполнить ping с хоста на виртуальную машину, а также выполнить сканирование nmap.

0 + 0

Admin

Этот вопрос на других языках:

EN: How to block all traffic on a VM except host IP?

TH: จะบล็อกการรับส่งข้อมูลทั้งหมดบน VM ยกเว้นโฮสต์ IP ได้อย่างไร

RO: Cum să blochezi tot traficul pe o VM, cu excepția IP-ului gazdă?

RU: Как заблокировать весь трафик на виртуальной машине, кроме IP-адреса хоста?

VI: Làm cách nào để chặn tất cả lưu lượng truy cập trên VM ngoại trừ IP máy chủ?

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.