У меня в офисе есть «разрабатываемый» KVM-сервер, настроенный в режиме мостовой сети с несколькими запущенными на нем гостевыми KVM. Для каждого гостя KVM создается виртуальный интерфейс на узле с именем kvm[id].0 например kvm126.0 когда гость загружается. Вчера я играл и хотел посмотреть, как я могу обнулить гостя KVM, если мне нужно.
Так что я попробовал route add ip_address reject который не имел никакого эффекта, так как никакой эффект не имел route add ip_address gw 127.0.0.1 lo или ip route add blackhole ip_address/32. Поскольку это настройка мостовой сети, я понимаю, почему вышеперечисленное не сработало.
Следующая попытка была с iptables; Я попытался
iptables -A INPUT -s ip_address -j DROP
iptables -A FORWARD -s ip_address -j DROP
что помогло, я больше не мог пинговать гостя KVM.
Дело в том, что если бы я был злоумышленником, я бы начал пробовать другие соседние IP-адреса, пока не нашел бы тот, который не конфликтует с другим гостем, и статически назначил бы его моему VPS.
Итак, я хотел бы знать, есть ли способ заблокировать трафик с конкретного интерфейса этого гостя, независимо от того, какой IP-адрес ему удалось настроить на своей гостевой машине.
Вы можете подключиться к монитору и закрыть ссылку:
(qemu) set_link tap.0 down
Команда info network выведет список сетевых интерфейсов.
Обратите внимание, что вы должны отсоединять монитор с Ctrl+C. С помощью q или quit wourld завершить работу виртуальной машины.