Estou tentando descartar pacotes para uma interface de conexão conectada à VM, mas isso não funciona.
iptables -A INPUT -i 553d1a58350ea -s 172.16.0.206 -j DROP
ping 172.16.4.119 # Works
Meu QEMU usa isso, ele é chamado da seguinte maneira: (args não relacionados omitidos)
qemu-system-x86_64 -net nic,model=virtio,netdev=net0 -netdev tap,id=net0,ifname=553d1a58350ea,script=no,downscript=no
Eu criei o dispositivo de toque com minha mão e o conectei a uma ponte Open vSwitch. Por que minha regra não está funcionando? Se eu apenas usar a mesma regra para outra interface no host, ela funciona e bloqueia as conexões.
A interface de toque não tem um endereço IP em si, mas consigo ver todo o tráfego com o tcpdump:
tcpdump -i 553d1a58350ea
É reletizado para tocar no dispositivo sem endereço IP?
Que tal uma regra de encaminhamento na tabela de filtros?
iptables -A FORWARD -s (source ip) -o tap0 -DROP
-o define a interface de rede de saída para uma regra e só pode ser usada com as cadeias OUTPUT e FORWARD na tabela de filtros e a cadeia POSTROUTING nas tabelas nat e mangle. As opções deste parâmetro são as mesmas do parâmetro da interface de rede de entrada ( -i ).