Iptables
如何防止 libvirt 為訪客 NAT 網路添加 iptables 規則?
類似於BugZilla 上對 Fedora 8 的這個舊請求,我希望從那時起有些事情發生了變化,或者有人知道另一種方式。
我想手動管理 iptables 規則——一刀切的自動規則根本不適合我。這些規則似乎是在網路啟動和銷毀時添加和刪除的。有沒有辦法完全阻止添加這些規則,或者將腳本掛接到網路啟動後恢復預設規則。
目前,我使用的是一種非常粗略的方法
cron
,但我希望有更好的方法:* * * * * root iptables-restore < /etc/sysconfig/iptables
好吧,我找到了一個適合我的答案:我已經回到學校並學會了用老式的方式來做這件事。無需使用 libvirt 的花哨網路功能,因為我可以:
- 設置我自己的橋接網路(未連接到任何物理網路埠)
- 在主機上使用 DHCP 伺服器並在 iptables 中偽裝
- 編輯 libvirt 來賓配置文件以使用網橋
- 在如何使用 iptables 配置安全性方面具有完全的靈活性
首先,已經可以避免 iptables 規則 - 只是不請求基於 NAT 的虛擬網路。“預設”虛擬網路有意基於 NAT。您可以隨意刪除此預設不提供 NAT 的選項。
所以要避免 cron 工作:
virsh net-destroy default virsh net-undefine default
當然,正如@user83664 所寫,您將不得不使用橋接或僅主機網路。