如何创建一个客人无法与其他客人直接交流的虚拟网络?
如果您想知道原因:虚拟网络有为 VPN 用户提供服务的访客。不同的用户角色有不同的防火墙规则,允许特定访客访问。一些访客允许 ssh/rdp,因此人们可能会从访客那里建立后续连接并获得对其他访客的未经授权的访问。
我在 Ubuntu 上使用 KVM 和 libvirt。
答案1
带有 KVM 的 Libvirt 支持一项名为“nwfilter”的功能,该功能可让您为各个客户网络接口配置相当广泛的防火墙规则。解释这一点超出了本答案的范围,因此最好只阅读在线文档:
http://libvirt.org/formatnwfilter.html
使用 iptables/ebtables 可以实现的大多数功能都可以使用 libvirt 的 nwfilter 规则来表达。因此,应该可以创建严格隔离客户端的过滤规则。