我的目标是在 VirtualBox 托管的虚拟机周围建立一个边界。完全控制网络。我想要监控、记录、过滤、优先处理、阻止、丢弃或以其他方式检查或操纵每个传出和传入的网络数据包,通过 IP 地址、域名、端口建立规则。数据包根据规则进行处理。除非有丢弃或传递数据包的规则,否则默认规则是将数据包放在队列中,以便操作员建立规则,理想情况下使用在新数据包等待“审核”时弹出的 GUI 工具,并促进规则的创建。
我希望防火墙设备在主机系统中运行,但如果有必要,它也可以在另一个虚拟机中运行。
我的主机系统是 Kubuntu。我会考虑任何其他 Linux 或 BSD 主机。我认为没有理由考虑 Windows 或 OSX 主机,但我愿意接受其他建议。
我希望防火墙是免费/开源的,但如果专有解决方案具有比较优势,我也会考虑它们。
实现此目的的最佳工具是什么?有任何示例配置吗?
答案1
我觉得你想多了。只需将所有来宾的网络流量路由到主机和监视器即可。
答案2
我建议你在主机级别实施防火墙。从网络设计方面来看,这会更安全,因为你同时保护主机和虚拟机。
作为第一步,我建议您使用 Kubuntu 附带的默认防火墙,即“ufw”。它有一个名为“gufw”的 GUI 可供使用这里
关于您对防火墙规则和数据包处理的要求,我不确定“ufw”是否具有内核数据包排队功能的接口,但作为起点,它与任何其他 Linux 防火墙一样安全,因为它使用内核模块,网络过滤器和iptables。
特征尺度的另一端是岸墙这是一个“工业强度”的防火墙和路由应用程序,它提供了一个命令行前端网络过滤器和iptablesShorewall 绝对可以满足您的要求,但是请注意它的学习难度很高 - 幸运的是,优秀的文档和示例简化了学习过程。