我正在运行 centos 7、lxc 用于容器、virsh 用于设置网桥。
创建后,virsh 为 virbr 设置了一些防火墙规则
# iptables-save | grep virbr
-A POSTROUTING -o virbr0 -p udp -m udp --dport 68 -j CHECKSUM --checksum-fill
-A INPUT -i virbr0 -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -i virbr0 -p tcp -m tcp --dport 53 -j ACCEPT
-A INPUT -i virbr0 -p udp -m udp --dport 67 -j ACCEPT
-A INPUT -i virbr0 -p tcp -m tcp --dport 67 -j ACCEPT
-A FORWARD -d 192.168.122.0/24 -o virbr0 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 192.168.122.0/24 -i virbr0 -j ACCEPT
-A FORWARD -i virbr0 -o virbr0 -j ACCEPT
-A FORWARD -o virbr0 -j REJECT --reject-with icmp-port-unreachable
-A FORWARD -i virbr0 -j REJECT --reject-with icmp-port-unreachable
-A OUTPUT -o virbr0 -p udp -m udp --dport 68 -j ACCEPT
我已经阅读了所有我能在谷歌上找到的内容,但我找不到正确的方法来启用 icmp、ssh 和 http。
我可以轻松地手动完成(并在每次重启后重复),我甚至可以将其修补到某个随机脚本文件中;但是有没有什么方法可以正确控制 nwfilters?我可以列出它们、编辑、转储……但不能使用!