Você deve ser capaz de definir 2 regras de iptables no host, uma permitindo acesso à internet a partir de bridge0 e a outra negando acesso a internet para cada outra pessoa, usando os parâmetros --in-interface / --out-interface .
Eu tenho um servidor KVM dentro de uma rede local (192.168.10.0/24). Este servidor tem três interfaces, todas com ponte pública [1]. Atm Estou usando apenas duas das três interfaces, então as máquinas virtuais são divididas em dois grupos (um usando bridge0 , o outro usando bridge1 ).
É possível configurar um firewall (iptables) no host para não permitir o acesso à Internet do grupo usando bridge1 ? Ou eu preciso de uma configuração diferente (roteamento através do host)?
[1] link
Eu tentei o seguinte (mas parece que não funciona):
O iptables -S output correspondente:
-P INPUT DROP
-P FORWARD DROP
-P OUTPUT DROP
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -m state --state NEW -j ACCEPT
-A INPUT -i bridge0 -m state --state NEW -j ACCEPT
-A INPUT -s 192.168.10.0/24 -d 192.168.10.0/24 -i bridge1 -m state --state NEW -j ACCEPT
-A INPUT -j DROP
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i bridge0 -m state --state NEW -j ACCEPT
-A FORWARD -o bridge0 -m state --state NEW -j ACCEPT
-A FORWARD -s 192.168.10.0/24 -d 192.168.10.0/24 -i bridge1 -m state --state NEW -j ACCEPT
-A FORWARD -s 192.168.10.0/24 -d 192.168.10.0/24 -o bridge1 -m state --state NEW -j ACCEPT
-A FORWARD -j DROP
-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -o lo -m state --state NEW -j ACCEPT
-A OUTPUT -o bridge0 -m state --state NEW -j ACCEPT
-A OUTPUT -s 192.168.10.0/24 -d 192.168.10.0/24 -o bridge1 -m state --state NEW -j ACCEPT
-A OUTPUT -j DROP
Você deve ser capaz de definir 2 regras de iptables no host, uma permitindo acesso à internet a partir de bridge0 e a outra negando acesso a internet para cada outra pessoa, usando os parâmetros --in-interface / --out-interface .