将虚拟机的 IP 段与主机分开

Question

我最初写这篇文章时考虑的是单独的 VMware/ESXi 主机。如果您必须使用正在运行的 Windows 10 计算机（带有 VMware Workstation），则需要创建/使用未桥接到主机传出接口的隔离虚拟网络。VMware Workstation 最初应该已经为您创建了一个。但是，您的主机仍然暴露于此网络，这会使您的工作计算机面临风险。

我建议使用单独的 ESXi 主机，该主机带有单独的虚拟交换机，且不连接任何物理适配器。在此（隔离的）虚拟交换机上创建一个端口组。Kali Linux VM 应该只连接此端口组。您可以通过 ESXi 管理远程查看 VM，该管理应位于其自己的网段上或位于与您的内部网络不同的 VLAN 上。这样，您将无法通过 ssh 访问 Kali VM。VM 只能访问 ESXi 内部的网络。

此虚拟机无法访问互联网。要提供互联网访问（这可能不是理想的选择），您可以安装防火墙虚拟机（例如 OPNsense 或 pfSense）。要将此防火墙用于您自己的内部网络和 Kali VM，请将您的 ISP 路由器置于桥接模式，将其内部网络端口置于实时互联网上而不是 NAT 上（以避免混淆双重 NAT）。使用专用的物理以太网适配器作为 WAN（除了 LAN 和管理适配器，在紧急情况下，它们可以只是一个单独适配器上的 VLAN）。此主机的 WAN 接口必须不暴露在您的内部网络中 - 或者如果必须这样做，必须构建非常谨慎的规则以强制所有 Kali VM 流量流出到互联网。防火墙虚拟机将需要一个到 Kali Linux 端口组的接口。请确保在所有防火墙接口上创建规则以限制对 Kali 网络的访问。

Answer 1

我最初写这篇文章时考虑的是单独的 VMware/ESXi 主机。如果您必须使用正在运行的 Windows 10 计算机（带有 VMware Workstation），则需要创建/使用未桥接到主机传出接口的隔离虚拟网络。VMware Workstation 最初应该已经为您创建了一个。但是，您的主机仍然暴露于此网络，这会使您的工作计算机面临风险。

我建议使用单独的 ESXi 主机，该主机带有单独的虚拟交换机，且不连接任何物理适配器。在此（隔离的）虚拟交换机上创建一个端口组。Kali Linux VM 应该只连接此端口组。您可以通过 ESXi 管理远程查看 VM，该管理应位于其自己的网段上或位于与您的内部网络不同的 VLAN 上。这样，您将无法通过 ssh 访问 Kali VM。VM 只能访问 ESXi 内部的网络。

此虚拟机无法访问互联网。要提供互联网访问（这可能不是理想的选择），您可以安装防火墙虚拟机（例如 OPNsense 或 pfSense）。要将此防火墙用于您自己的内部网络和 Kali VM，请将您的 ISP 路由器置于桥接模式，将其内部网络端口置于实时互联网上而不是 NAT 上（以避免混淆双重 NAT）。使用专用的物理以太网适配器作为 WAN（除了 LAN 和管理适配器，在紧急情况下，它们可以只是一个单独适配器上的 VLAN）。此主机的 WAN 接口必须不暴露在您的内部网络中 - 或者如果必须这样做，必须构建非常谨慎的规则以强制所有 Kali VM 流量流出到互联网。防火墙虚拟机将需要一个到 Kali Linux 端口组的接口。请确保在所有防火墙接口上创建规则以限制对 Kali 网络的访问。

将虚拟机的 IP 段与主机分开

答案1

相关内容