Eu tenho uma ponte br0 para a qual vários contêineres estão conectados. Eu gostaria de permitir conectividade com a Internet para todos eles (usando firehol ), exceto um (é no IP 10.200.0.3 e PHYSIN interface vb-tor )
Agora eu fiz isso por meio dessa regra:
# traffic from nspawn to internet, except for tor
router4 nspawn2internet inface br0 outface int0 src not 10.200.0.3
masquerade
route all accept
Isso funciona bem, mas depende do IP. Se esse IP mudar por algum motivo, a limitação desaparecerá e o tráfego será permitido.
Eu queria usar a interface física ( PHYSIN ) para fazer a limitação - essa não mudará tão facilmente. Eu tentei modificar a regra para
# traffic from nspawn to internet, except for tor
router4 nspawn2internet inface br0 outface int0 physin not vb-tor
masquerade
route all accept
mas não funciona: todo o tráfego está bloqueado.
Existe uma maneira de usar physin aqui?