我有一台运行 Virtualbox 的主机和一个客户虚拟机。假设主机有带 IP 的接口 br0 1.2.3.4,客户有带 IP 的 eth0 1.2.3.5。
访客使用1.2.3.5公网 IP(桥接接口,通过主机上的 br0)。我希望它能够访问互联网,但希望完全阻止所有从外部访问它的尝试。它不提供任何服务,它可能被完全阻止访问互联网,如果不是因为它需要不时下载一两件东西的事实……
如何在主机上执行此操作而不影响主机?不在客人身上,在主人身上。我希望主机可以从外部世界、从互联网访问。但客户机应仅接收与客户机建立的连接相关的数据包。没有 ssh 登录尝试,没有从外部发起任何操作(我知道,我也可以使用其他工具来保护客户机,例如客户机上的 sshd_config,我也使用它们,但我还想使用 iptables)。
我尝试先阻止与客户机相关的所有内容,然后再排除RELATED和ESTABLISHED,但即使我将 1.2.3.5 作为源和目标的 DROP 规则添加到主机上的所有链(INPUT、、),我仍然可以从外部世界 ping 。我做错了什么?是的,我在链的开头添加了这些规则()。当我在主机上执行此操作并且流量发往虚拟机/客户机时,iptables 的行为会有所不同?还是因为我使用了网桥 br0?FORWARDOUTPUT1.2.3.5-I
1.2.3.5因此,当我运行主机上的 tcpdump 来拦截 ICMP 数据包时,它显示为源和目标,而我从外界 ping 1.2.3.5,但我甚至无法删除来自和到(客户虚拟机上的 IP)的所有内容1.2.3.5。
答案1
虽然您可以操纵通过网桥的流量,但我不确定您是否可以进行连接跟踪(RELATED/ ESTABLISHED)。
可以做这件事的地方是FORWARD连锁店。
这会给你带来什么sysctl -a|grep -E "bridge-nf-call-ip.*tables"?例如,如果你将 设置net.bridge.bridge-nf-call-iptables为,1并执行iptables -P FORWARD DROP,则访客将无法再使用互联网。你可以从那里开始,看看是否可以获得更多。