KVM防火墙禁止群客上网。
KVM防火墙禁止群客上网。
提问于 2013-06-04 07:20:00
我在本地网络中有一个KVM服务器(192.168.10.0/24)。这个服务器有三个接口,它们都是公开桥接的1。Atm只使用这三个接口中的两个,因此虚拟机被分成两组(一个使用bridge0,另一个使用bridge1)。
是否可以在主机上设置防火墙(iptables),从而禁止使用bridge1的组访问internet?还是需要不同的设置(通过主机进行路由)?
1
我尝试了以下方法(但似乎不起作用):
- 允许在本地回送上所有东西
- 允许bridge0上的所有内容
- 仅允许通过bridge1进行本地网络通信
- 否认其他一切
相应的iptables -S输出:
-P INPUT DROP
-P FORWARD DROP
-P OUTPUT DROP
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -m state --state NEW -j ACCEPT
-A INPUT -i bridge0 -m state --state NEW -j ACCEPT
-A INPUT -s 192.168.10.0/24 -d 192.168.10.0/24 -i bridge1 -m state --state NEW -j ACCEPT
-A INPUT -j DROP
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i bridge0 -m state --state NEW -j ACCEPT
-A FORWARD -o bridge0 -m state --state NEW -j ACCEPT
-A FORWARD -s 192.168.10.0/24 -d 192.168.10.0/24 -i bridge1 -m state --state NEW -j ACCEPT
-A FORWARD -s 192.168.10.0/24 -d 192.168.10.0/24 -o bridge1 -m state --state NEW -j ACCEPT
-A FORWARD -j DROP
-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -o lo -m state --state NEW -j ACCEPT
-A OUTPUT -o bridge0 -m state --state NEW -j ACCEPT
-A OUTPUT -s 192.168.10.0/24 -d 192.168.10.0/24 -o bridge1 -m state --state NEW -j ACCEPT
-A OUTPUT -j DROP回答 1
Server Fault用户
发布于 2013-06-04 18:39:03
您应该能够在主机上设置2条iptable规则,一条允许从bridge0访问互联网,另一条使用接口内/出接口参数,拒绝其他人访问互联网。
页面原文内容由Server Fault提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://serverfault.com/questions/513027
复制相关文章
相似问题
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号