我已经在我的网络上设置了一个虚拟机,用于大学项目开发。我有 6 名团队成员,我不希望他们通过 SSH 进入并开始嗅探我的网络流量。我已经在我的 W7 电脑上设置了防火墙,以忽略来自虚拟机的任何连接尝试,但我想更进一步,不允许从虚拟机到我网络上的其他机器的任何网络访问。
团队成员将通过 SSH 访问虚拟机。唯一转发的外部端口是 vm:22。
VM 在桥接网络连接的 VirtualBox 中运行。运行最新的 Debian。
如果有人能告诉我如何做到这一点我将不胜感激。
答案1
授予团队成员非 root 访问权限。这样他们就无法嗅探流量。
如果您不希望他们将流量发送到您自己的网络设置,iptables请执行以下操作:
- 接受 my_ip 和 my_router(您的默认网关)的流量
- 删除 my_network 的流量
- 接受所有其他流量
如果您的团队成员具有根访问权限,您将需要将 VM 置于执行上述过滤的(虚拟)路由器后面。
答案2
如果您不信任他们在本地网络中,就不要让他们进入那里。
也许桥接网络不是最好的解决方案。
您可以使用 NAT 和安全路由器,并仅转发不同机器的端口 22(到路由器 WAN 端口上的不同端口)