如何在 proxmox 上將 IP 白名單路由到一個虛擬機，而將其他所有路由到第二個虛擬機？

在 linux 上是否可以有一個允許訪問內部 NAT 上特定 VM 的 IP 白名單？例如（公共 ip (proxmox) –> 我的虛擬機用於白名單 IP (192.168.0.1)），如果流量不在白名單上，只需將其路由到 192.168.0.2 ？

問題是某個服務正在遭受攻擊，所以我希望使用者在連接到真實交易之前先在網站上註冊。（如果有人嘗試，他們將連接到 192.168.0.2 上的虛擬伺服器，該伺服器將擷取所有攻擊並為他們需要在連接前註冊的使用者顯示一條消息）

（如果有人需要視覺化以使其更容易，因為也許我的故事寫作技巧不是那麼好，這裡有一個連結：http: //i.imgur.com/BCCkhmm.png）

附加問題：是否有可能始終允許任何 ip 使用具有特定簽名的數據包（例如 QUERY 數據包），即使是未列入白名單的（將此流量重定向到列入白名單的流量）？

您可以根據源 IP 地址選擇性地進行 DNAT。

例如：

ipset destroy whitelist # this may error the first time
ipset create whitelist hash:ip hashsize 32768
ipset -A whitelist <ip_address1>
ipset -A whitelist <ip_address2>
iptables -t nat -A PREROUTING -p tcp --dport 80 -m set --match-set whitelist -j DNAT --to 192.168.0.1
iptables -t nat -A PREROUTING -p tcp --dport 80 -m set ! --match-set whitelist -j DNAT --to 192.168.0.2

您可能仍需要 -t filter -A FORWARD 的其他規則以允許連接，並且需要啟用 ip_forward，它應該已經在 proxmox 上。

引用自：https://serverfault.com/questions/645741