阻止Virtualbox使用iptables访问主机的internet

Question

我有一台linux机器，它有自己的防火墙(iptables规则)。

我刚刚发现Virtualbox可以绕过我的防火墙，因为来宾系统可以连接到互联网。

如何添加iptable规则来阻止virtualbox访问internet？

目前，我正在使用这个规则(Virtualbox可以绕过它)：

sudo iptables -I OUTPUT -p tcp -m owner ! --uid-owner 186 -m multiport --dports http,https -j REJECT

Answer 1

VM可以连接在第三层(IP)或第二层(以太网)上。第三层通过您的防火墙，第二层没有(在默认情况下)。

如果VM连接到brige，那么您可以通过防火墙强制桥接通信，请参见以下答案：https://unix.stackexchange.com/a/500022/32191或使用ebtables。

我不知道这是否也适用于macv分VM连接。因此，您可能必须将VM网络更改为桥接或第3层(可能称为"NAT")。

Answer 2

您不需要使用iptable，您可以使用仅使用主机的适配器。

查看我的上一篇文章：登录到没有互联网的无头虚拟盒VM中