我运行一个 Proxmox 主机,其中有几个 KVM 实例,使用它们自己的 IP 地址(未经过 NAT)。主机有eno1桥接的网卡vmbr0。我试图实现的目标是阻止每个从 .net 访问互联网的 KVM 实例的端口 22 vmbr0。我尝试将etables规则重定向到iptables但没有效果。
应用的命令:
echo 1 > /proc/sys/net/bridge/bridge-nf-call-iptables
echo 1 > /proc/sys/net/bridge/bridge-nf-filter-pppoe-tagged
echo 1 > /proc/sys/net/bridge/bridge-nf-filter-vlan-tagged
然后在 iptables 上:
iptables -A INPUT -i emo1 -p tcp --dport 22 -j DROP
但它对我的虚拟机没有影响。
知道我错过了什么或者我做错了什么吗?
答案1
iptables -A INPUT -i emo1 -p tcp --dport 22 -j DROP
我认为没有名为emo1?的接口大概应该是eno1(乙那里氮等氧板 1)。
但是,为什么不直接使用 Proxmox VE 防火墙呢?
使用 GUI 启用它数据中心->防火墙->选项并在节点->防火墙->选项
然后使用 SSH 宏添加规则并拒绝每个虚拟机的防火墙面板上的操作。