シナリオ: 多くの仮想マシンがある 1 つの VirtualBox ホスト。さまざまな仮想マシンクラスに対して、さまざまなホスト専用ネットワークが構成されます。一部の仮想マシンは「専用」仮想マシンであり、他の仮想マシンは「標準」仮想マシンです。一部のプライベートVMを含むほとんどのVMにはインターネットに接続する必要があるため、NATインターフェイスもあります。
プライベートVMがNATインターフェイスを介して標準VMにアクセスするのを防ぐ(またはその逆)推奨される方法は何ですか?
例:
- 2つのホスト専用ネットワーク:
- vboxnet0 (192.168.56.0/24) = "プライベート"
- vboxnet1(192.168.57.0/24) = "標準"
- VM#1(インターネットアクセスが可能な専用仮想マシン)には2つの仮想インターフェイスがあります。
- インターネットアクセス用NAT(10.0.2.0/24)
- ホストネットワーク専用 vboxnet0
- VM#2(専用仮想マシン)は、VM#1と同様に構成されています。
- VM#3(インターネットアクセスのない専用仮想マシン)には1つの仮想インターフェイスがあります。
- ホストネットワーク専用 vboxnet0
- VM#4(標準仮想マシン)には2つの仮想インターフェイスがあります。
- インターネットアクセス用NAT(10.0.2.0/24)
- ホストネットワーク専用 vboxnet1
- VM#5(標準VM)は、VM#4と同様に構成されています。
- インターネットアクセスは、仮想マシンホストのデフォルトゲートウェイを介して提供されます。
- 仮想マシンホスト:192.168.0.100
- ゲートウェイ:192.168.0.1
- 一部のVMではファイアウォールが有効になっておらず、一部のVMは信頼できないため、ゲストシステムを変更しないでください。
- ホストシステムはLinux上で動作し、iptablesを使用します。
VM#3は分離されており、192.168.56.0/24を除くすべてのアイテムにアクセスできません。さらに、VM#1と#2は互いに通信できます(例:#4と#5)。これは良いことです。
ただし、専用VM#1は標準VM#4に接続できます。また、ホストの標準IPである192.168.57.1と物理IPである192.168.0.100と通信して、専用仮想マシンがホストのサービスにアクセスするのを防ぐように設計されたファイアウォールルールをバイパスすることもできます。この場合、インターネットアクセス可能な専用仮想マシンは、標準サブネット(vboxnet1)または他の仮想マシンサブネットにアクセスできないはずです。つまり、NATインターフェイスはインターネットアクセスのために192.168.0.1へのアクセスのみを許可する必要があり、他の(ローカル)ネットワークは許可しません。
このように仮想NATインターフェイスを制限することは可能ですか?