Little Snitch und VirtualBox

[commune10]

Hallo apfeltalker,

nutzt jemand VirtualBox und Little Snitch unter Lion? Wie kann ich Little Snitch dazu bringen VirtualBox zu blocken bzw. Regeln dafür festzulegen, oder hängt VirtualBox so tief im System, das da nichts geht? Virtualisierung muss natürlich bis auf den Prozessor runter, aber das Little Snitch so gar nichts von dem Traffic aus VirtualBox heraus mitbekommt ist schon echt doof. Das gleiche gilt übrigens auch für TCPBlock. Hat jemand eine Idee?


Freeman

 

[Irving]

Ich versteh grad nicht, was dein Problem ist. LittleSnitch fragt standardmäßig nach, ob VirtualBox (oder sonst ein Programm) ins Netz gehen darf. Wenn LS dann darauf hinweist, kann man ganz gemütlich festlegen, ob man VirtualBox blocken oder freigeben möchte. So zumindest hier auf mehreren Macs. Ich arbeite mit VirtualBox und Linux, meine Frau mit Windows. Aktuelles Lion (10.7.2) und aktuelles LittleSnitch (wobei die Kombination völlig egal ist, da ich es noch nicht anders erlebt habe). Es sei denn man hat bereits eine Regel festgelegt. Dann fragt LS auch nicht mehr nach... LS arbeitet hier jedenfalls völlig normal (und zuverlässig), wie es das auch soll.

 

[commune10]

Mein Problem ist, das Little Snitch _NICHT_ nachfragt. Ich hatte VirtualBox frisch installiert und hätte daher auch erwartet das nachgefragt wird, passiert aber nicht. Und es kommt noch schlimmer, Little Snitch zeigt noch nicht einmal an, das überhaupt Traffic stattfindet und dem muss ja wohl so sein, wenn ich in der VM unter Linux im Internet surfe. Das ganze finde ich besonders merkwürdig, weil ich keinen blassen Schimmer habe woran es liegen könnte, denn der Mac ist nahezu frisch installiert und da ist momentan fast nichts an zusätzlicher Software drauf was evtl. irgendetwas zerschossen haben könnte.

Aber schon mal gut zu wissen, das es prinzipiell funktionieren müsste.

@Irving: Wie ist dein Netzwerk konfiguriert. Meine VM-Anschlußadapter ist als „Netzwerkbrücke“ konfiguriert.

PS: Die einzige Frage die von LS kommt, ist ob sich VB mit dem Update-Server verbinden darf.

 

[Irving]

Ok...

Da du als Netzwerktyp 'Netzwerkbrücke' gewählt hast, ist es ganz logisch und auch richtig, dass sich Little-Snitch nicht einmischt und sich auch sonst nicht meldet.

VirtualBox nimmt mit der Netzwerkbrücke praktisch 'dezidierten' Kontakt zum Netzwerk auf. D.h., dass OSX nicht den Netzwerkwerkehr zur virtuellen Maschine routet, sondern das jeweilig virtuelle Betriebssystem über den Netzwerkadapter direkt bzw. 'überbrückt' arbeitet. Damit kann die VM auch eine eigene IP-Adresse nutzen, die sich vom Mutter-System (also hier OSX) unterscheiden kann. Sie kann des weiteren auch dezidiert aus dem Netzwerk angesprochen werden. OSX verarbeitet die Daten selber aber nicht über die eigene Netzwerkverbindung, so dass Little-Snitch natürlich auch keinen Netzverkehr überwachen muss.

Anders sieht es beim Netzwerktyp 'NAT' aus. Hier arbeitet die VM jeweils allein mit der von OSX zur Verfügung gestellten (und damit miteinander geteilten) Netzwerkverbindung. VM und Muttersystem (OSX) teilen sich damit dann auch die gleiche IP-Adresse. OSX verwaltet die Datenpackete, die an die VM weitergeleitet werden. LittleSnitch arbeitet auch hier, wie es soll... und meldet bei NAT dann auch den Netzwerkverkehr (den man dann sperren oder freigeben kann...).

Wenn du Kontrolle durch Little-Snitch wünschst, musst du also als Netzwerktyp 'NAT' wählen. Willst du dagegen ein eingenständiger arbeitendes virtuelles Betriebssystem, das auch über eine eigene IP-Adresse erreichbar sein soll, ist die 'Netzwerkbrücke' die richtige Wahl (dann aber ohne weitere Kontrolle durch OSX bzw. Little-Snitch).

 

[commune10]

Vielen Dank, da hatte ich mit meinem Hinweis auf die Netzwerkbrücke ja schon den richtigen Riecher. Mit NAT mischt sich Little Snitch nun wieder in den Netzwerkverkehr ein. -- Freeman