KVM firewall para não permitir acesso à Internet para grupos de convidados

1

Eu tenho um servidor KVM dentro de uma rede local (192.168.10.0/24). Este servidor tem três interfaces, todas com ponte pública [1]. Atm Estou usando apenas duas das três interfaces, então as máquinas virtuais são divididas em dois grupos (um usando bridge0 , o outro usando bridge1 ).

É possível configurar um firewall (iptables) no host para não permitir o acesso à Internet do grupo usando bridge1 ? Ou eu preciso de uma configuração diferente (roteamento através do host)?

[1] link

Eu tentei o seguinte (mas parece que não funciona):

  1. permite tudo sobre loopback local
  2. permitir tudo em bridge0
  3. permite apenas tráfego de rede local sobre bridge1
  4. negar todo o resto

O iptables -S output correspondente:

    -P INPUT DROP
    -P FORWARD DROP
    -P OUTPUT DROP
    -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
    -A INPUT -i lo -m state --state NEW -j ACCEPT 
    -A INPUT -i bridge0 -m state --state NEW -j ACCEPT 
    -A INPUT -s 192.168.10.0/24 -d 192.168.10.0/24 -i bridge1 -m state --state NEW -j ACCEPT 
    -A INPUT -j DROP 
    -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT 
    -A FORWARD -i bridge0 -m state --state NEW -j ACCEPT 
    -A FORWARD -o bridge0 -m state --state NEW -j ACCEPT 
    -A FORWARD -s 192.168.10.0/24 -d 192.168.10.0/24 -i bridge1 -m state --state NEW -j ACCEPT 
    -A FORWARD -s 192.168.10.0/24 -d 192.168.10.0/24 -o bridge1 -m state --state NEW -j ACCEPT 
    -A FORWARD -j DROP 
    -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT 
    -A OUTPUT -o lo -m state --state NEW -j ACCEPT 
    -A OUTPUT -o bridge0 -m state --state NEW -j ACCEPT 
    -A OUTPUT -s 192.168.10.0/24 -d 192.168.10.0/24 -o bridge1 -m state --state NEW -j ACCEPT 
    -A OUTPUT -j DROP
    
por narf 04.06.2013 / 09:20

1 resposta

2

Você deve ser capaz de definir 2 regras de iptables no host, uma permitindo acesso à internet a partir de bridge0 e a outra negando acesso a internet para cada outra pessoa, usando os parâmetros --in-interface / --out-interface .

    
por 04.06.2013 / 20:39