我的网络上有一台计算机,用作 VirtualBox 客户 VM 的主机 PC。主机 PC 和客户 VM 都运行 Windows 7。
我想阻止客户虚拟机访问主机 PC 以及 LAN 的其余部分。客户虚拟机应该只能访问 Internet。这样做的目的是让我可以在虚拟机中测试可疑程序而不会有任何东西逃逸。我需要从虚拟机内部访问 Internet,但我不想从虚拟机内部访问 LAN 的其余部分或主机 PC。
我的路由器运行 Tomato 固件,以防相关。
有谁知道我该如何实现这个目标?
答案1
这种零敲碎打的做法的问题是,没有万无一失的解决方案。我建议你在 Google 上搜索VirtualBox sandbox,它会告诉你可以实施许多精心设计的解决方案来提高你的安全性。
然而,如果你坚持以一种幼稚的方式这样做,那么有两种解决方案:
1) 在路由器上设置一个 VLAN,分配给仅有的VM;这样,您便可以将 VM 与 LAN 的其余部分分开。当然,这也需要在 LAN 端强化路由器,但如果您采用解决方案 2,您也必须这样做。
2)使用桥连接,配置路由器以始终为虚拟机分配相同的 IP 号码(称为Address Reservation),并通过所有电脑上的防火墙阻止此地址。这仍然会使打印机、NAS、电视等没有可配置防火墙的设备暴露在外。