我在 KVM 专用服务器上运行一些客户机,我想使用主机作为防火墙,使用转发规则控制从虚拟机管理程序向下进行的所有访问。
在每台客户机上运行 iptables 是一个好主意还是更好?你知道任何类似的使用案例或指南吗?
答案1
在我们公司,我们在 KVM 主机上设置了防火墙,因此我们只需配置一次,而不是在每个客户机上都配置一次。您可以在此处阅读有关我们的 shorewall 设置的信息: http://www.ingent.net/ca/2012/03/server-virtualization-kvm-hetzner/
但抱歉,只有加泰罗尼亚语
答案2
视情况而定。如果您控制主机和所有来宾,则在主机上配置防火墙并让来宾保持开放状态会更简单。如果您不控制主机,或者您需要来宾更加独立(例如由不同的人管理),那么在所有来宾中配置防火墙会更好(您仍然希望主机上的防火墙阻止对自身的访问)。如果您真的非常注重安全,您可能希望在主机和来宾上都配置防火墙。