Запретить прямое общение между гостями в виртуальной сети

Question

Запретить прямое общение между гостями в виртуальной сети

Как я могу создать виртуальную сеть, где гость не может напрямую общаться с другими гостями?

Если вам интересно, почему: в виртуальной сети есть гости, которые предоставляют услуги пользователям VPN. Различные роли пользователей имеют разные правила брандмауэра, которые разрешают доступ для определенных гостей. Некоторые гости допускают использование ssh / rdp, поэтому люди могут устанавливать постоянные соединения с гостем и получать несанкционированный доступ к другим гостям.

Я использую KVM и libvirt на Ubuntu.

2

linux-kvm libvirt

Источник

paj28 07 сен '16 в 07:36

1 ответ

Решение

Другие вопросы по тегам linux-kvm libvirt

DanielB 21 дек '16 в 23:40 2016-12-21 23:40 · Accepted Answer · 2016-12-21 23:40

Libvirt с KVM поддерживает функцию под названием "nwfilter", которая позволяет настраивать довольно широкие правила брандмауэра для отдельных интерфейсов гостевой сети. Объяснение этого выходит за рамки этого ответа, поэтому лучше всего прочитать онлайн-документы:

http://libvirt.org/formatnwfilter.html

большинство вещей, которых вы можете достичь с помощью iptables/ebtables, можно выразить с помощью правил libvirt nwfilter. Так что должно быть возможно создать правила фильтрации, которые сильно изолируют ваших гостей друг от друга.