Я запускаю несколько гостей на выделенном сервере KVM, и я хотел бы использовать хост в качестве брандмауэра, чтобы контролировать все обращения вниз с гипервизора, используя правила пересылки.
Это хорошая идея или лучше запускать iptables на каждой гостевой машине? Вы знаете какой-либо подобный случай использования или какое-либо руководство?
Это зависит. Если вы управляете хостом и всеми гостями, проще настроить брандмауэр на хосте и оставить гостей открытыми. Если вы не контролируете хост или вам нужно, чтобы гости были более независимыми (например, управлялись разными людьми), тогда лучше настроить брандмауэры для всех гостей (вы все равно хотите, чтобы брандмауэр на хосте блокировал доступ к самому себе). Если вы действительно параноик в области безопасности, вы можете настроить брандмауэры как на хосте, так и на гостях.
В нашей компании мы устанавливаем брандмауэр на хосте KVM, поэтому мы настраиваем его только один раз, а не для каждого гостя. Вы можете прочитать о нашей настройке Shorewall здесь: http://www.ingent.net/ca/2012/03/server-virtualization-kvm-hetzner/
но это только на каталонском, извините