Я настроил несколько гостей, работающих на kvm в Ubuntu. Доступ к сети для гостей осуществляется через сетевой мост, где br0 находится поверх eth0. У меня на хост-машине запущен ufw, и это ограничивает трафик к хосту. Есть ли способ применить правила на хосте ко всем гостям, чтобы блокировка порта на брандмауэре хоста предотвратила доступ для всех гостей?
Я не уверен насчет ufw конкретно, но я могу блокировать / фильтровать порты для гостей, используя iptables на хосте. Вы должны добавить правила в цепочку FORWARD. Если вы можете получить доступ к цепочке FORWARD из ufw, добавьте в нее свои правила, и они также должны применяться к гостям.
Попробуйте с
ufw route deny in on br0 out on br0 to any <portnumber> proto <tcp|udp|all>
(У меня есть сценарий, подобный вашему, за исключением настройки ufw «исходящее отбрасывание по умолчанию», поэтому мои виртуальные машины полностью заблокированы, за исключением портов, которые я явно разрешаю, используя команду, подобную приведенной выше, с allow
вместо того deny
)
(Обратите внимание, что если вы используете ядро> = 3.18, вам необходимо загрузить br_netfilter
модуль)