[Решено] Сетевой "забор с калиткой" вокруг виртуалки

lampslave	# 9 лет, 8 месяцев назад
Темы: 32 Сообщения: 4801 Участник с: 05 июля 2011	Есть: Debian 6, Virtualbox, виртуальная Windows XP. Надо: сделать так, чтобы доступ в/из виртуальной машины мог идти только в локальной сети и только по одному указанному порту. Закрытие портов возлагается на хост, но при этом сам хост ограничивать не нужно. Вопрос: без усиленного курения мануалов по iptables можно такое организовать?

# 9 лет, 8 месяцев назад

Сообщения: 4801

Участник с: 05 июля 2011

Есть: Debian 6, Virtualbox, виртуальная Windows XP.
Надо: сделать так, чтобы доступ в/из виртуальной машины мог идти только в локальной сети и только по одному указанному порту. Закрытие портов возлагается на хост, но при этом сам хост ограничивать не нужно.
Вопрос: без усиленного курения мануалов по iptables можно такое организовать?

nafanja	# 9 лет, 8 месяцев назад
Темы: 94 Сообщения: 9252 Участник с: 02 июня 2012 заблокирован	А смысл? или это спортивный интерес? Псевдографический инсталлятор Arch Linux ver. 3.8.2 Благодарности принимаются на ЯД 410012815723874

lampslave	# 9 лет, 8 месяцев назад
Темы: 32 Сообщения: 4801 Участник с: 05 июля 2011	Смысл - менеджер баз данных для бизнес пака (под вайном он работает, но в том, что всё будет в порядке с регистрацией, я не уверен). Жить он будет в виртуалке, а чтобы какая-нибудь гадость эту виртуалку не убила и нужен этот “забор”. Да, я знаю, что можно делать снимки и всё такое, но хотелось бы бояться только за железо. Для предотвращения возможного флуда сразу говорю: выбор именно бизнес пака не обсуждается.

lampslave

# 9 лет, 8 месяцев назад

Темы: 32

Сообщения: 4801

Участник с: 05 июля 2011

Смысл - менеджер баз данных для бизнес пака (под вайном он работает, но в том, что всё будет в порядке с регистрацией, я не уверен). Жить он будет в виртуалке, а чтобы какая-нибудь гадость эту виртуалку не убила и нужен этот “забор”. Да, я знаю, что можно делать снимки и всё такое, но хотелось бы бояться только за железо.

Для предотвращения возможного флуда сразу говорю: выбор именно бизнес пака не обсуждается.

nafanja	# 9 лет, 8 месяцев назад
Темы: 94 Сообщения: 9252 Участник с: 02 июня 2012 заблокирован	а понятно, нужно что бы гостевая в инет не выходила, а видела только локалку. так можно не подключать инет в гостевой, и настроить на свободный локальный ip без всяких iptables Псевдографический инсталлятор Arch Linux ver. 3.8.2 Благодарности принимаются на ЯД 410012815723874

nafanja

# 9 лет, 8 месяцев назад

Темы: 94

Сообщения: 9252

Участник с: 02 июня 2012

заблокирован

а понятно, нужно что бы гостевая в инет не выходила, а видела только локалку.
так можно не подключать инет в гостевой, и настроить на свободный локальный ip без всяких iptables

Псевдографический инсталлятор Arch Linux ver. 3.8.2
Благодарности принимаются на ЯД 410012815723874

sleepycat	# 9 лет, 8 месяцев назад
Темы: 98 Сообщения: 3291 Участник с: 19 июля 2011	какая то пурга, не понял ничего. Если надо, чтобы машина была отшельником, то вирт. сетевую в режим nat. Если надо, чтобы ее было видно для доступа к ее сервисам, то можно и пробросить, но проще вирт. карту в режим моста, а на машине включить фаервол и определить список нужного. Конектить машину через впн, когда она и так похожа на это дело по отношению к хосту… ЗЫ: я всякого гемороя повидал, сам много “изобрел” великов, но этот запрос войдет в мою картотеку;) эт надо, завиртуалить, потом еще там с сетью чтото эмулировать, матрешка по круче моей… нда, доводит айтишников бюджет, а чего не win server сразу, заодно и dns и dhcp бы поднял? xD Лозунг у них был такой: "Познание бесконечности требует бесконечного времени". С этим я не спорил, но они делали из этого неожиданный вывод: "А потому работай не работай — все едино". И в интересах неувеличения энтропии Вселенной они не работали. (с)

sleepycat

# 9 лет, 8 месяцев назад

Темы: 98

Сообщения: 3291

Участник с: 19 июля 2011

какая то пурга, не понял ничего. Если надо, чтобы машина была отшельником, то вирт. сетевую в режим nat. Если надо, чтобы ее было видно для доступа к ее сервисам, то можно и пробросить, но проще вирт. карту в режим моста, а на машине включить фаервол и определить список нужного. Конектить машину через впн, когда она и так похожа на это дело по отношению к хосту…
ЗЫ: я всякого гемороя повидал, сам много “изобрел” великов, но этот запрос войдет в мою картотеку;) эт надо, завиртуалить, потом еще там с сетью чтото эмулировать, матрешка по круче моей… нда, доводит айтишников бюджет, а чего не win server сразу, заодно и dns и dhcp бы поднял? xD

Лозунг у них был такой: "Познание бесконечности требует бесконечного времени". С этим я не спорил, но они делали из этого неожиданный вывод: "А потому работай не работай — все едино". И в интересах неувеличения энтропии Вселенной они не работали. (с)

lampslave	# 9 лет, 8 месяцев назад
Темы: 32 Сообщения: 4801 Участник с: 05 июля 2011	nafanja а понятно, нужно что бы гостевая в инет не выходила, а видела только локалку Это не особенная проблема, в VB есть такой режим без всяких плясок с бубном. Проблема в том, чтобы она видела локалку не по все портам, а только по нужному. sleepycat Если надо, чтобы ее было видно для доступа к ее сервисам, то можно и пробросить, но проще вирт. карту в режим моста, а на машине включить фаервол и определить список нужного. Это в XP что ли фаервол включать? Точно, KIS воткну туда и всего делов. Гы-гы. sleepycat завиртуалить, потом еще там с сетью чтото эмулировать Эмулировать там ничего не надо, достаточно отгородить лишнее, вопрос только в том, как это проще всего сделать.

lampslave

# 9 лет, 8 месяцев назад

Темы: 32

Сообщения: 4801

Участник с: 05 июля 2011

nafanja
а понятно, нужно что бы гостевая в инет не выходила, а видела только локалку

Это не особенная проблема, в VB есть такой режим без всяких плясок с бубном. Проблема в том, чтобы она видела локалку не по все портам, а только по нужному.

sleepycat
Если надо, чтобы ее было видно для доступа к ее сервисам, то можно и пробросить, но проще вирт. карту в режим моста, а на машине включить фаервол и определить список нужного.

Это в XP что ли фаервол включать? Точно, KIS воткну туда и всего делов. Гы-гы.

sleepycat
завиртуалить, потом еще там с сетью чтото эмулировать

Эмулировать там ничего не надо, достаточно отгородить лишнее, вопрос только в том, как это проще всего сделать.

sleepycat	# 9 лет, 8 месяцев назад
Темы: 98 Сообщения: 3291 Участник с: 19 июля 2011	русский форум не понимает, так что пришлось заменить ссылку на нечто менее путевое. сделай паузу ;) Лозунг у них был такой: "Познание бесконечности требует бесконечного времени". С этим я не спорил, но они делали из этого неожиданный вывод: "А потому работай не работай — все едино". И в интересах неувеличения энтропии Вселенной они не работали. (с)

sleepycat

# 9 лет, 8 месяцев назад

Темы: 98

Сообщения: 3291

Участник с: 19 июля 2011

русский форум не понимает, так что пришлось заменить ссылку на нечто менее путевое.
сделай паузу ;)

lampslave	# 9 лет, 8 месяцев назад
Темы: 32 Сообщения: 4801 Участник с: 05 июля 2011	Паузу пусть делают другие, а я нормально сделать хочу. Таки придётся переводить адаптер в виртуалке в режим моста, жестко прописывать ip в винде и через iptables рубить всё лишнее, что идёт на этот ip и с него. Осталось воплотить это в правилах.

lampslave

# 9 лет, 8 месяцев назад

Темы: 32

Сообщения: 4801

Участник с: 05 июля 2011

Паузу пусть делают другие, а я нормально сделать хочу.

Таки придётся переводить адаптер в виртуалке в режим моста, жестко прописывать ip в винде и через iptables рубить всё лишнее, что идёт на этот ip и с него. Осталось воплотить это в правилах.

corner	# 9 лет, 8 месяцев назад
Темы: 6 Сообщения: 773 Участник с: 21 июля 2011	А может, сделать по примеру + в правилах iptables просто добавить нужные порты (порт). И все.пример настройки сети в виртуалке Т.е. добавить в 1 и 2-е правила порт (порты).

[email protected]	# 9 лет, 8 месяцев назад
Темы: 5 Сообщения: 130 Участник с: 14 марта 2012	Зачем нагружать хост IP фильтрацией, когда можно в винде поставить элементарный фаервол и наглухо закрыть все порты кроме нужного?