Блокировать трафик между некоторыми виртуалками KVM

kvm, network, хочется странного

1

1

Есть несколько виртуалок KVM, объединенные мостом с физическим интерфейсом в сеть.
В один прекрасный момент встала задача ограничить доступ из «ненадежной» виртуалки к некоторым другим, а также к некоторым адресам в физической сети.
Хотел понаписать правил для цепочки OUTPUT, используя -m mac --mac-source, но как сразу выяснилось, для этой цепочки этот критерий не работает.
Подразумевается, что ip «ненадежной» машины не постоянен.
Городить виртуальные сети желания нет.
Есть иные пути решения?

Ссылка

← Медленный бэкап.

ERROR: failed to write: Connection reset by peer →

перенести в другой мост

~~sdio~~ ★★★★★
(05.12.12 17:21:07 MSK)

Ссылка

Хотел понаписать правил для цепочки OUTPUT,

Если на хосте KVM, то FORWARD. Да, лучше перенести в отдельный мост.

router ★★★★★
(05.12.12 17:35:10 MSK)

Ответ на: комментарий от router 05.12.12 17:35:10 MSK

FORWARD не помогает.
Отдельный мост попробую, спасибо.

kompas ★
(05.12.12 17:49:26 MSK) автор топика

Ответ на: комментарий от kompas 05.12.12 17:49:26 MSK

FORWARD не помогает.

Если CONFIG_BRIDGE_NETFILTER на хостовом ядре не установлен - не удивительно

Pinkbyte ★★★★★
(05.12.12 22:30:20 MSK)
Последнее исправление: Pinkbyte 05.12.12 22:30:30 MSK (всего исправлений: 1)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

← Медленный бэкап.

ERROR: failed to write: Connection reset by peer →