(gelöst) win-xp unter VB: unerwünschter Internetzugang

[guennid]

Das Teil hat Internetzugang. Den will ich ihm aber verbieten. Wie schalte ich das ab. Sowas wie "kein Netzwerk einrichten" habe ich nicht gefunden. Ich möchte auch nicht die winscp-Verbindung zum debian-Teil der Maschine verlieren.

Grüße, Günther

[orcape]

Hi,
den Internetzugang kannst Du nur am Gastsystem unterbinden. Bei XP, wenn ich Dich korrekt verstanden habe, in der Systemsteuerung-Netzwerk.

Gruss orcape

[Ellison]

In der VBox einfach keinen Adapter auswählen, schon geht nichts mehr.

[hikaru]

Host-only Adapter

[guennid]

Host-only Adapter

Das schien mir sinnvoll. Lässt aber kein winscp mehr zu.

Bisherige Einstellung NAT.

Grüße Günther

[Six]

Keine Ahnung von Desktop-VMs, aber wenn das über NAT läuft, dann kannst du einfach die Verbindung vom NAT-Netz ins ISP-Netz per iptables blocken.

[guennid]

Einfach ist gut Ich habe noch nie mit iptables hantiert.

Grüße, Günther

[Six]

Code: Alles auswählen

iptables -A INPUT -p all --syn -s <IP-der-VM> -d 127.0.0.1 -j ACCEPT
iptables -A INPUT -p all --syn -s <IP-der-VM> -d <IP-des-externen-Interfaces> -j DROP

Falls es bei VMs nichts besonderes zu beachten gilt, dann sollte das es schon tun. Wenn du deine Kiste etwas absichern möchtest und dabei auch noch was lernen willst, dann gucke dir mal Bastille an.

[guennid]

Danke für den Code!
Aber dafür müsste ich wissen, was die IP der VM ist. Ist das die, die mir winscp zeigt, wenn ich darüber auf das debian zugreifen will (10.0.2.2)? Und die des externen Systems? Ist das die, die ich in der /etc/network/interfaces eingetragen habe (DHCP nutze ich nicht)? Tja, und dann, wo soll er hin, der Code?

Eine weitere Absicherung erscheint mir erstmal nicht so nötig. Innerhalb der Familie ist (fast) alles debian (ein win-Rechner der Tochter darf nur den Router benutzen, sonst nix) und in die weite Welt geht's mit 'nem IPCop-Router, auf den ich mich bis jetzt verlassen habe.

Grüße, Günther

[Six]

In der VM läuft MS Windows XP, oder? Starte Windows, öffne eine "Eingabeaufforderung" d. h. starte cmd und tippe

Code: Alles auswählen

ipconfig /all

Windows zeigt dir dann alle Netzwerkinterfaces mit den dazugehörigen Konfigurationsdaten an. Ich tippe, da findest du auch die IP der VM.

Das externe Interface ist das Interface, dass mit der Außenwelt spricht, z. B. eth0, wenn an eth0 das DSL-Modem hängt. Im übrigen kannst du in der zweiten Regel das --syn weg lassen. Und wohin mit dem Kram? Steck die zwei Zeilen in ein Bash-Skript und rufe das Skript über die rc.local beim Start des Debian-Systems auf.

[guennid]

"Eingabeaufforderung": Tja, das ist schon ein lustiges Konsölchen und so gut versteckt! Aber dein Tipp hat's voll gebracht Das wäre dann auch klar.

Linuxseitig wird bisher ausschließlich eth0 benutzt. Diese IP ist sowieso klar.
Zwischen eth0 meiner Maschine und dem DSL-Modem hängt, wie gesagt der IPCop-Router (nur "rot" und "grün"), der hat also zwei IPs, eine interne (192.168. ...), die ich ihm gegeben habe, und eine nach außen. Letztere krieg ich auf dem Startbildschirm des IPCop nach der Einwahl angezeigt. Ich vermute, die ist nicht statisch. Aber kommt der IPCop hier überhaupt ins Spiel? Bis dahin soll windoof ja gar nicht kommen.

Grüße, Günther

[Six]

In diesem Fall ist das externe Interface das Interface des Host-Computers, das mit dem IP-Cop spricht.

[guennid]

script ohne Spitzklammern um die IPs ausgeführt:

Code: Alles auswählen

# win-stop
iptables v1.4.2: Unknown arg `(null)'
Try `iptables -h' or 'iptables --help' for more information.
iptables v1.4.2: Unknown arg `(null)'
Try `iptables -h' or 'iptables --help' for more information.

mit Spitzklammern:

Code: Alles auswählen

# win-stop
/usr/local/bin/win-stop: line 3: 10.0.2.15: Datei oder Verzeichnis nicht gefunden
/usr/local/bin/win-stop: line 4: 10.0.2.15: Datei oder Verzeichnis nicht gefunden

Same procedure mit 10.0.2.2 (wird von win als gateway geführt)

Grüße, Günther
Grüße, Günther

[Six]

Dann lass das Skript mal sehen.

[guennid]

bitteschöööön:

Code: Alles auswählen

#!/bin/sh
# 
iptables -A INPUT -p all --syn -s 10.0.2.15 -d 127.0.0.1 -j ACCEPT
iptables -A INPUT -p all --syn -s 10.0.2.15 -d 192.168.100.151 -j DROP

Die Veröffentlichung der IP 192.168.100.151 ist doch hoffentlich unproblematisch, oder nicht?

Grüße, Günther

[Six]

Das ist unkritisch, sind ja private Adressen.

-p all ist ohnehin default, kannst du also weglassen. Führe mal direkt aus der Shell den Befehl

Code: Alles auswählen

iptables -A INPUT -s 10.0.2.15 -d 192.168.100.151 -j DROP

aus. Das sollte der VM jeden Zugriff nach draußen, auch auf den Host, verbieten. Klappt das?

[guennid]

Lustig, Lustig, mühsam ernährt sich das Eichhörnchen.

Wieder was gelernt! Diesmal wurde bei der Ausführung das kernel-Modul ip_tables vermisst.
Na, da ist ja mal wieder Kernelbauen angesagt.

Erneuter Versuch mit Standard-Kernel (Wer braucht schon sowas! )

Diesmal hat er den Befehl akzeptiert. Aber leider vergebliche Müh. Nach wie vor alles scheunentoroffen.

Win behauptet, DHCP zu benutzen. Ist das von Belang?

Grüße, Günther

[orcape]

Hi,
....dann schalte mal DHCP ab. Bei ner statischen IP-Vergabe müsstest Du erst einen DNS-Verweis eintragen und ohne diesen kein Internet.

Gruss orcape

[guennid]

Gemacht! (Mann ist das ein Geraffel bei win!)

winscp funktioniert. Interernet ist erstmal Ende Gelände

DNS-Verweis eintragen und ohne diesen kein Internet.

Aber doch nicht, wenn ich eine IP der Internet-Adresse habe - oder?

IPtables unter den neuen Bedingungen probier ich später aus.

Grüße, Günther

[orcape]

...gibst Du eine Dir bekannte IP einer Seite ein, dann funktioniert es auch ohne DNS.

Gruss orcape

[guennid]

Ich komme nicht weiter. Das Einizge, was funktioniert, ist, win den DNS-Server wegzunehmen. Aber ich glaube, das ist eigentlich nicht das, was ich will. Ich möchte win vollständig verbieten, mit der Welt außerhalb der lokalen Maschine zu kommunizieren.

Grüße, Günther

[Danielx]

Host-only Adapter

Das schien mir sinnvoll.

Ist es auch.

Lässt aber kein winscp mehr zu.

Bisherige Einstellung NAT.

Bei Host-only bekommt der Gast seine IP-Adresse bei VirtualBox üblicherweise aus einem anderen Adressbereich, wie z.B. 192.168.56.x.
Hierbei wird meist das Interface vboxnet0 verwendet, siehe "ifconfig vboxnet0".
Ein Zugriff von Gast -> Host und umgekehrt ist natürlich möglich, der Host wäre dann in meinem Beispiel unter der IP-Adresse 192.168.56.1 erreichbar.
Der DHCP-Server wäre dann unter 192.168.56.2 erreichbar, das nur nebenbei.

Bei der Verwendung von NAT hingegen bekommt der Gast z.B. eine IP-Adresse aus dem Bereich 10.0.2.x

Gruß,
Daniel

[guennid]

Das sieht ja interessant aus!
und wie verpass' ich jetzt vboxnet0 eine IP? Neuer Eintrag in interfaces?
Habe bis jetzt in der VB-GUI keine Möglichkeit gesehen.

Unter linux verwende ich kein DHCP und im win habe ich es mittlerweile auch auskeknipst.

[Danielx]

und wie verpass' ich jetzt vboxnet0 eine IP?

Das hat schon eine IP-Adresse, siehe "ifconfig vboxnet0".

Unter linux verwende ich kein DHCP

Der DHCP-Server für den Gast wird von VirtualBox bereitgestellt.

und im win habe ich es mittlerweile auch auskeknipst.

Du könntest das entweder (also unter Windows) wieder einschalten oder dem Gast (also unter Windows einstellen) eine IP-Adresse aus dem vboxnet0-Bereich (siehe "ifconfig vboxnet0") geben, aber nicht x.x.x.1 (vergeben an den Host) oder x.x.x.2 (vergeben an den DHCP-Server).

Gruß,
Daniel

[KBDCALLS]

Mit Privaten Adressen kann eh keiner was anfangen.