我在本地网络 (192.168.10.0/24) 内有一台 KVM 服务器。该服务器有三个接口,全部是公共桥接的 [1]。目前我只使用三个接口中的两个,因此虚拟机被分成两组(一组使用bridge0,另一个使用桥1)。
是否可以在主持人,禁止使用桥1?或者我需要不同的设置(通过主机路由)?
[1]http://www.linux-kvm.org/page/Networking#public_bridge
我尝试了以下操作(但似乎不起作用):
- 允许一切通过本地环回
- 允许一切结束bridge0
- 仅允许本地网络流量桥1
- 否认其他一切
相应的iptables -S输出:
-P INPUT DROP
-P FORWARD DROP
-P OUTPUT DROP
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -m state --state NEW -j ACCEPT
-A INPUT -i bridge0 -m state --state NEW -j ACCEPT
-A INPUT -s 192.168.10.0/24 -d 192.168.10.0/24 -i bridge1 -m state --state NEW -j ACCEPT
-A INPUT -j DROP
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i bridge0 -m state --state NEW -j ACCEPT
-A FORWARD -o bridge0 -m state --state NEW -j ACCEPT
-A FORWARD -s 192.168.10.0/24 -d 192.168.10.0/24 -i bridge1 -m state --state NEW -j ACCEPT
-A FORWARD -s 192.168.10.0/24 -d 192.168.10.0/24 -o bridge1 -m state --state NEW -j ACCEPT
-A FORWARD -j DROP
-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -o lo -m state --state NEW -j ACCEPT
-A OUTPUT -o bridge0 -m state --state NEW -j ACCEPT
-A OUTPUT -s 192.168.10.0/24 -d 192.168.10.0/24 -o bridge1 -m state --state NEW -j ACCEPT
-A OUTPUT -j DROP
答案1
您应该能够在主机上设置 2 个 iptables 规则,一个允许从 bridge0 访问互联网,另一个拒绝其他所有人访问互联网,使用 --in-interface / --out-interface 参数。