如何防止 libvirt 為訪客 NAT 網路添加 iptables 規則？

類似於BugZilla 上對 Fedora 8 的這個舊請求，我希望從那時起有些事情發生了變化，或者有人知道另一種方式。

我想手動管理 iptables 規則——一刀切的自動規則根本不適合我。這些規則似乎是在網路啟動和銷毀時添加和刪除的。有沒有辦法完全阻止添加這些規則，或者將腳本掛接到網路啟動後恢復預設規則。

目前，我使用的是一種非常粗略的方法cron，但我希望有更好的方法：

 *  *  *  *  * root    iptables-restore < /etc/sysconfig/iptables

好吧，我找到了一個適合我的答案：我已經回到學校並學會了用老式的方式來做這件事。無需使用 libvirt 的花哨網路功能，因為我可以：

• 設置我自己的橋接網路（未連接到任何物理網路埠）
• 在主機上使用 DHCP 伺服器並在 iptables 中偽裝
• 編輯 libvirt 來賓配置文件以使用網橋
• 在如何使用 iptables 配置安全性方面具有完全的靈活性

根據 Red Hat Bugzilla：

首先，已經可以避免 iptables 規則 - 只是不請求基於 NAT 的虛擬網路。“預設”虛擬網路有意基於 NAT。您可以隨意刪除此預設不提供 NAT 的選項。

所以要避免 cron 工作：

virsh net-destroy default
virsh net-undefine default

當然，正如@user83664 所寫，您將不得不使用橋接或僅主機網路。

引用自：https://serverfault.com/questions/456708