Iptables

如何防止 libvirt 為訪客 NAT 網路添加 iptables 規則?

  • March 26, 2022

類似於BugZilla 上對 Fedora 8 的這個舊請求,我希望從那時起有些事情發生了變化,或者有人知道另一種方式。

我想手動管理 iptables 規則——一刀切的自動規則根本不適合我。這些規則似乎是在網路啟動和銷毀時添加和刪除的。有沒有辦法完全阻止添加這些規則,或者將腳本掛接到網路啟動後恢復預設規則。

目前,我使用的是一種非常粗略的方法cron,但我希望有更好的方法:

 *  *  *  *  * root    iptables-restore < /etc/sysconfig/iptables

好吧,我找到了一個適合我的答案:我已經回到學校並學會了用老式的方式來做這件事。無需使用 libvirt 的花哨網路功能,因為我可以:

  • 設置我自己的橋接網路(未連接到任何物理網路埠)
  • 在主機上使用 DHCP 伺服器並在 iptables 中偽裝
  • 編輯 libvirt 來賓配置文件以使用網橋
  • 在如何使用 iptables 配置安全性方面具有完全的靈活性

根據 Red Hat Bugzilla

首先,已經可以避免 iptables 規則 - 只是不請求基於 NAT 的虛擬網路。“預設”虛擬網路有意基於 NAT。您可以隨意刪除此預設不提供 NAT 的選項。

所以要避免 cron 工作:

virsh net-destroy default
virsh net-undefine default

當然,正如@user83664 所寫,您將不得不使用橋接或僅主機網路。

引用自:https://serverfault.com/questions/456708