Firewall em um host KVM, impede o acesso à VM: s

1

Eu tenho uma máquina Linux executando o KVM com várias VMs, todas com IPs públicos. Por enquanto eu tenho tudo roteado através de uma ponte (br0) e isso funciona bem.

Eu também preciso de um firewall no host para restringir o acesso ao host e ao VM: s, eu acho que estamos falando de roteamento e iptables? Eu não sou tão experiente com coisas do iptables / bridging / network e preciso de um ponto na direção certa.

Alguma recomendação?

Host: servidor Ubuntu 11.04, VM: misto, Linux e Windows

    
por nsg 04.07.2011 / 11:46

1 resposta

4

iptables podem ser configurados para verificar o tráfego da ponte. Eu costumo desabilitá-lo para melhorar o desempenho, mas você pode fazer o oposto: /etc/sysctl.conf:

net.bridge.bridge-nf-call-ip6tables = 0
net.bridge.bridge-nf-call-iptables = 0
net.bridge.bridge-nf-call-arptables = 0

Se você definir um desses para 1 em vez de 0, o host iptables filtrará o tráfego da ponte.

Outra solução seria parar de usar a bridge e usar a implementação NAT do libvirts, que também usa o iptables

EDIT: como os dois modos são um IMO defeituoso, eu executaria os firewalls nos próprios convidados, deixando-os em uma rede com ponte normal. ou, o que seria ainda mais apropriado, execute um dispositivo de firewall separado na frente da infraestrutura virtual

    
por 04.07.2011 / 11:56