ゲストPCからだけインターネット

解決済

質問者：usa3usa
質問日時：2014/05/01 22:27
回答数：6件

ホストPCをオフラインにしてゲストPCだけネットアクセスするということは可能でしょうか？
今は、ホストPCだけインターネットアクセスでき、ゲストPCはオフラインになっています。

WinXPのサポートが終了するので、ネットから切り離して同じPCに同じWinXPを再インストールしました。
具体的には、今まで使っていたWinXPのPCのHDDを入れ替えてLinuxをいれてもらい、そこにVirtualBoxで、ネット切断した仮想PCを友人に作ってもらい、
そこに私が、WinXPのCDを使ってインストールしました。

この逆の設定が可能か知りたくて質問しています。つまり、オフラインのWinXPの中に、VirtualBoxで、ネット接続したゲストPCをつくり、そこでネットにアクセスする訳です。

できあがる環境は、「オンラインのLinux」と「オフラインのWinXP」で同じですが、ホストPCとゲストPCが逆転して、ホストPCになった方がパフォーマンスが高くなります。

通報する

この質問への回答は締め切られました。

質問の本文を隠す

回答 (6件)

ベストアンサー優先
最新から表示
回答順に表示

No.6ベストアンサー

回答者： wormhole
回答日時：2014/05/06 13:15

>OSIモデルにおける第６層（プレゼンテーション層）以下の関与は無視し、第７層（アプリケーション層）でホストOSがかかわる場合のみをオンラインと定義した場合で、改めて、教えてください。

その定義であれば可能です。

ですけどホストOS側で動いているブリッジに脆弱性があるかもしれない可能性は無視いいんですか？
「無視したらダメ」といってるわけじゃなく「そういうポリシーなんでしょうか」という確認です。

- 0
- 件

通報する

この回答へのお礼

回答ありがとうございます。

＞ですけどホストOS側で動いているブリッジに脆弱性があるかもしれない可能性は無視いいんですか？
具体的にどのような脆弱性があるのか、イメージできませんが、世の中に完璧というのはありませんので、脆弱性の可能性は否定しません。ご指摘ありがとうございます。
しかし、ここでは無視しています。

なお、別の質問で教えてもらった、OSIモデルにおける第４層（トランスポート層）のフィルタープログラムPktFilter をつかって、
　「ホストPCにおいて、すべてのIPパケットを遮断」
してみました。
具体的には、rules.txt として
option small_frags on eth0
block in on eth0 all
block out on eth0 all
を設定して、PktFilterを起動してみました。

期待とおり、ホストPCのすべてのパケットが遮断され、メールやWEB閲覧ができなくなりました。
さらに、ゲストPCでは問題なく、WEB閲覧ができることも、確認しました。

http://www.st.rim.or.jp/~shio/nwworld/pktfilter/

通報する

お礼日時：2014/05/06 16:18

No.5

回答者： wormhole
回答日時：2014/05/03 00:00

ブリッジ接続を使っても最終的にパケットの送受信を行ってるのはホストOSですけど(データリンク層なのでかなり低レベルではあるんですが)・・・

ブリッジ接続の機能自体ホストOS側で動いてるものですし。

- 0
- 件

通報する

この回答へのお礼

回答ありがとうございます

No1さん、作れるが意味なし
No2＝No5さん、不可能、
No3さん、作れるが意味なし
No4さん、可能

と一見、矛盾した回答ですが、「オフライン」の定義の違いによるものでしょうか？
茨城県には新幹線の駅はありませんが、新幹線の線路はあります。
このとき、「茨城県に新幹線が通っている」「通っていない」という回答の違いの気がします。

ホストOSがパケットの送受信を行っていても、ホストOSがパケットの内容を扱わない、開封しないのであれば、「ホストOSはオフラインである」という定義では、回答はどうなるのでしょうか？
OSIモデルにおける第６層（プレゼンテーション層）以下の関与は無視し、第７層（アプリケーション層）でホストOSがかかわる場合のみをオンラインと定義した場合で、改めて、教えてください。

通報する

お礼日時：2014/05/03 10:37

No.4

回答者： notnot
回答日時：2014/05/02 22:02

可能です。

ホストOSのIPアドレスを固定ででたらめな物を設定すれば良い。
例えば、今のLANのアドレスが、192.168.0.xxx であるなら、固定IPとして、10.0.0.1とかを設定する。
仮想マシンは外とは仮想ブリッジ接続で、ゲストOSのアドレスは192.168.0.xxxを設定します。

これで、ホストOSは他とIP通信できないので、危険はまずないでしょう。

VirtualBoxは使ったことありませんが、VMwarePlayerでは出来るので多分出来ると思います。
万一出来なければVMwarePlayerに乗り換えてください。

- 0
- 件

通報する

この回答へのお礼

回答ありがとうございます。
可能なのですね。

＞これで、ホストOSは他とIP通信できないので、危険はまずないでしょう。
なるほど。

ひとつ心配は、
　ゲストOSが通信するとき、ホストOSは、通過するパケットを開封することはない
と言えるのでしょうか？
ホストOSのドライバレベルのソフトはOSIモデルにおける第７層（アプリケーション層）には関与しないので大丈夫とは思うのですが、念のため。

つまりホストOSは、ゲストOSのパケットに対し、
　OSIモデルにおける第６層（プレゼンテーション層）以下の関与しかしない
ことが保障されているのですか？

通報する

お礼日時：2014/05/03 11:21

No.3

回答者： koi1234
回答日時：2014/05/02 02:23

ネットワークをブリッジ設定で接続してホストOSのIPでの外部通信を

ルータやファイヤーウォールで遮断(パケット破棄）する　といった方法であれば可能ですが
パケット破棄は行わずにホストで通信不可・ゲストOSは通信可能といった状態にすることは不可能です

当人の問題いなのであまり細かくは触れませんが
LAN上では接続されてますのでセキュリティ確保としてそういった環境を作ろうとしてるなら
目的を見失ってるといえるかもしれません

- 0
- 件

通報する

この回答へのお礼

回答ありがとうございます。

何やら私には難しい設定をすれば、可能らしいことはわかりましたが、
PC単体での設定では無理ということですね。

また、見かけだけ可能になったとしても、セキュリティとしては意味ないのですね。
ありがとうございます。

通報する

お礼日時：2014/05/02 06:57

No.2

回答者： wormhole
回答日時：2014/05/02 00:13

>ホストPCをオフラインにしてゲストPCだけネットアクセスするということは可能でしょうか？

不可能です。
仮想PCがネットワークにアクセスする際にはホストOSに中継してもらってるんですから
ホストOSをオフラインにしたらつながりません。
USB接続のネットワークアダプタを仮想PCに直接割り当てるような事をすれば別ですが。

- 0
- 件

通報する

この回答へのお礼

回答ありがとうございます。

＞USB接続のネットワークアダプタを仮想PCに直接割り当てるような事をすれば別ですが。
USB接続なら可能なのですか。素晴らしいアイデア、ありがとうございます。

ホストPCはネットワークのドライバを使用せず、
ゲストPCだけがネットワークドライバを使用してインターネットする
のも出来そうな気がしてしまいますが、不可能なのですね。

通報する

お礼日時：2014/05/02 06:52