%EC%97%90%EC%84%9C%20%22%EA%B0%9C%EC%9D%B8%22%20%ED%98%B8%EC%8A%A4%ED%8A%B8%20%EC%A0%84%EC%9A%A9%20%EB%84%A4%ED%8A%B8%EC%9B%8C%ED%81%AC%EC%97%90%20%EB%8C%80%ED%95%9C%20%EC%95%A1%EC%84%B8%EC%8A%A4%EB%A5%BC%20%EB%B0%A9%EC%A7%80%ED%95%98%EB%8A%94%20%EB%B0%A9%EB%B2%95%EC%9D%80%20%EB%AC%B4%EC%97%87%EC%9E%85%EB%8B%88%EA%B9%8C%3F.png)
시나리오: 많은 가상 머신이 있는 1개의 VirtualBox 호스트. 다양한 가상 머신 클래스에 대해 다양한 호스트 전용 네트워크가 구성됩니다. 일부 가상 머신은 "전용" 가상 머신이고 다른 가상 머신은 "표준" 가상 머신입니다. 일부 개인 VM을 포함한 대부분의 VM에는 인터넷에 연결해야 하기 때문에 NAT 인터페이스도 있습니다.
개인 VM이 NAT 인터페이스를 통해 표준 VM에 액세스하는 것을 방지하는(또는 그 반대로) 권장되는 방법은 무엇입니까?
예:
- 2개의 호스트 전용 네트워크:
- vboxnet0 (192.168.56.0/24) = "비공개"
- vboxnet1 (192.168.57.0/24) = "표준"
- VM #1(인터넷 액세스가 가능한 전용 가상 머신)에는 2개의 가상 인터페이스가 있습니다.
- 인터넷 액세스용 NAT(10.0.2.0/24)
- 호스트 네트워크 전용 vboxnet0
- VM #2(전용 가상 머신)는 VM #1과 유사하게 구성됩니다.
- VM #3(인터넷 액세스가 없는 전용 가상 머신)에는 1개의 가상 인터페이스가 있습니다.
- 호스트 네트워크 전용 vboxnet0
- VM #4(표준 가상 머신)에는 2개의 가상 인터페이스가 있습니다.
- 인터넷 액세스용 NAT(10.0.2.0/24)
- 호스트 네트워크 전용 vboxnet1
- VM #5(표준 VM)는 VM #4와 유사하게 구성됩니다.
- 인터넷 액세스는 가상 머신 호스트의 기본 게이트웨이를 통해 제공됩니다.
- 가상 머신 호스트: 192.168.0.100
- 게이트웨이: 192.168.0.1
- 일부 VM에는 방화벽이 활성화되어 있지 않으며 일부 VM은 신뢰할 수 없으므로 게스트 시스템을 변경해서는 안 됩니다.
- 호스트 시스템은 Linux에서 실행되며 iptables를 사용합니다.
VM #3은 격리되어 있으며 192.168.56.0/24를 제외한 모든 항목에 액세스할 수 없습니다. 또한 VM #1과 #2는 서로 통신할 수 있습니다(예: #4와 #5). 이는 좋은 일입니다.
그러나 전용 VM #1은 표준 VM #4에 연결할 수 있습니다. 또한 호스트의 표준 IP인 192.168.57.1 및 물리적 IP인 192.168.0.100과 통신하여 전용 가상 머신이 호스트의 서비스에 액세스하는 것을 방지하도록 설계된 방화벽 규칙을 우회할 수 있습니다. 이 경우 인터넷 액세스가 가능한 전용 가상 머신은 표준 서브넷(vboxnet1)이나 다른 가상 머신 서브넷에 액세스할 수 없어야 합니다. 즉, NAT 인터페이스는 인터넷 액세스를 위해 192.168.0.1에 대한 액세스만 허용해야 하며 다른 (로컬) 네트워크는 허용하지 않습니다.
이와 같이 가상 NAT 인터페이스를 제한하는 것이 가능합니까?