Eu tenho um servidor KVM de "desenvolvimento" aqui no escritório, configurado em uma configuração de rede em ponte com alguns convidados do KVM rodando nele. Para cada convidado do KVM, é criada uma interface virtual no nó com o nome kvm[id].0
, por ex. kvm126.0
quando o convidado inicializa.
Ontem eu estava brincando e queria ver como eu poderia anular um hóspede KVM caso eu precisasse.
Então, eu tentei route add ip_address reject
que não teve efeito, pois nenhum efeito tinha route add ip_address gw 127.0.0.1 lo
ou ip route add blackhole ip_address/32
.
Como é uma configuração de rede com ponte, percebo por que o acima não funcionou.
A próxima tentativa foi com o iptables; Eu tentei
iptables -A INPUT -s ip_address -j DROP
iptables -A FORWARD -s ip_address -j DROP
qual foi o truque, não consegui mais fazer ping no convidado do KVM.
Agora, o problema é que, se eu fosse um usuário mal-intencionado, começaria a tentar outros IPs vizinhos até encontrar um que não entre em conflito com outro convidado e o atribuísse estaticamente ao meu VPS.
Então, o que eu gostaria de saber é que, se houver uma maneira de bloquear o tráfego da interface específica desse convidado, não importa em qual IP ele tenha conseguido configurar sua máquina convidada.