我正在尝试在虚拟机中创建一个由 1 个服务器和 2 个节点组成的网络。我是虚拟机网络方面的新手,已经阅读了文档。如何创建所需的网络,同时保护我的物理计算机免受虚拟机活动的影响?我已将服务器和节点与设置为仅主机适配器的虚拟网络适配器联网,据说这是安全的,但现在这些设备没有互联网连接。简而言之,我的目标是保护我的 PC 免受危险虚拟机的侵害,但让这些虚拟机可以访问互联网,以便我可以更新它们的软件。
答案1
如果我的理解正确,您希望阻止虚拟机与主机的 LAN 通信,同时仍保持 Internet 访问。我不确定是否有一种干净的方法来实现这一点。
您可以创建一个额外的虚拟机并将其设为路由器/防火墙。您需要在其中设置两个网络接口:一个设置为“NAT”,另一个设置为“内部网络”。然后将其他虚拟机中的网络适配器配置为“内部网络”。您必须在所有虚拟机中设置相同的内部网络名称。
然后继续在新虚拟机上安装路由器操作系统。我更喜欢 OPNsense,但其他替代方案包括 pfSense 和 OpenWRT。将 NAT 接口配置为 WAN,将内部网络接口配置为 LAN(顺序可能与 VBox 设置中的顺序不同,但您可以通过检查它们的 MAC 地址来找出哪个是哪个)。设置 LAN 以使用例如192.168.123.1路由器的 IP,带掩码/24(255.255.255.0长表示法)并启用 DHCP。
此时,您的其他虚拟机应该能够接收其 IP 地址并访问 Internet,但它们尚未与主机隔离。这必须在防火墙设置中完成。在 OPNsense 中,您可以在 LAN 接口上添加以下规则(或浮动规则):
- 来源:局域网
- 目的地:你的主机的网络,可能类似于
192.168.x.0/24- 检查主机的 IP - 快速:已启用
- 动作:拒绝
保存规则并应用设置。先使用无风险的虚拟机进行测试。