我在 Ubuntu 的 kvm 上设置了一些运行的客户端。客户端的网络访问是通过网桥进行的,br0 位于 eth0 之上。我在主机上运行了 ufw,这限制了到主机的流量。有没有办法让主机上的规则适用于所有客户端,这样阻止主机防火墙上的端口就会阻止所有客户端的访问?
答案1
我不太清楚 ufw 的具体情况,但我可以使用主机上的 iptables 来阻止/过滤来宾端口。您必须将规则添加到 FORWARD 链中。如果您可以从 ufw 访问 FORWARD 链,则将规则添加到其中,这些规则也应该适用于来宾。
答案2
尝试
ufw route deny in on br0 out on br0 to any <portnumber> proto <tcp|udp|all>
(我有一个类似你的情况,除了“默认传出丢弃” ufw 设置,所以我的虚拟机除了我明确允许的端口外,完全被锁定,使用类似上面的命令而allow
不是deny
)
(请注意,如果您使用的内核 >= 3.18,则必须加载该br_netfilter
模块)