Как изолировать сеть и разрешить только интернет?

Question

[borg333]

Здравствуйте. Настраиваю Cuckoo для тестов и столкнулся с проблемой изолирования.
Дано:
Физ машины
Pfsense 2.4.4-RELEASE-p2 (amd64) Интерфейсы - igb0 (WAN) igb1 (LAN1 10.10.10.0/24) BR0 (LAN2 10.10.20.0/24 мост из 4 mlnx)
Esxi 6.7.0 (Build 8169922) Интерфейсы vSwitch (BR0)
На Esxi поднята Ubuntu 16.04, Интерфейсы ens160 (10.10.20.201) vboxnet0 (192.168.56.1 HOST-ONLY)
В Ubuntu поднят VBOX, на котором поднимается ВМ для теста (WIN7 192.168.56.106)
Вопрос заключается в том, как изолировать 10.10.20.0/24 и 192.168.56.0/24 между собой и оставить только взаимодействие Ubuntu и ВМ на VBOX'e + интернет?

Текущие правила в iptables:

root@cuckoo:/home/cuckoo# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination

Chain FORWARD (policy DROP)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Заранее спасибо.

Comments

[borg333]

Вот так заработало.

iptables -F (удалить все правила)
iptables -A FORWARD -s 192.168.56.0/24 -d 10.10.0.0/16 -i vboxnet0 -o ens160 -j DROP
iptables -A POSTROUTING -t nat -j MASQUERADE
iptables -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT (появился пинг 8.8.8.8 но не резолвятся сайты)
iptables -A FORWARD -o ens160 -i vboxnet0 -s 192.168.56.0/24 -m conntrack --ctstate NEW -j ACCEPT (начали резолвиться)

Правильно ли это, не смотря на то, что работает? На сколько этот вариант безопасен? При условии возможности запуска всякого рода вирусов, в т.ч. сетевых, не возникнет ли угроза для основной сети?

[Михаил Васильев]

borg333, можно ещё добавить запрещающие правила в цепочки INPUT и OUTPUT:

iptables -A INPUT -s 10.10.0.0/16 -j DROP
iptables -A OUTPUT -d 10.10.0.0/16 -j DROP

Насколько безопасно вопрос ещё тот, у вас в любом случае остаётся доступ к сети 192.168.56.0/24 где Ubuntu, да и к Интернет доступ есть. Техник различных атак много, тут нужен компетентный взгляд не админа, а безопасника.

[Максим Корнеев]

borg333, Вы занатили трафик из 192.168.56.1/24 в 10.10.0.1/16. то есть сеть 10.10.0.1/16 полностью доступна всем из сети 192.168.56.1/24. в обратную сторону доступа на создание соединений нет. интернет для 192.168.56.1/24 доступен как для абонентов сети 10.10.0.1/16, то есть на момент подключения к интернет у них будет адрес из сети 10.10.0.1/16.

Answer 1

[Максим Корнеев]

признаться смысл вопроса не понятен. например: "как изолировать 10.10.20.0/24 и 192.168.56.0/24 между собой" - они и так изолированы если Вы не настраивали маршрутизацию между ними. совершенно не понятно зачем в виртуальной машине делать виртуальную машину. Вы мало того что перемудрили с виртуализацией, что крайне негативно сказывается на производительности, Вы этим запутали себя в сетях и их маршрутизации. Вы не указали ничего про сеть к которой подключен Esxi. В конечном итоге не совсем понятно что именно Вам нужно. Если Вам нужно пропустить трафик из виртуальной машины запущенной в виртуальной машине то для нее шлюзом надо указывать шлюз в интернет, а на виртуальной машине в которой запущена виртуальная машина для которой нужен инет нужно настроить проброс всего трафика из виртуальной машины на внешний маршрутизатор. Если Вы уберете лишнюю виртуальную машину все станет проще и прозрачнее.