如何阻止从我的虚拟机使用iptables的ping？

我有一个运行4个KVM虚拟机的服务器。 这些虚拟机只有一个接口，所有的接口连接到同一个OVS网桥。

我试图使用下面的iptables命令来阻止这些虚拟机上的ping

 iptables -A OUTPUT -o ${tap_interface} -p icmp -m icmp --icmp-type 8 -j DROP 

但是，这不起作用。 然后我说，让我们去基本的东西，并阻止所有的ping消息，甚至从服务器。 所以我执行了：

 iptables -A OUTPUT -p icmp -m icmp --icmp-type 8 -j DROP 

现在的情况是，我的服务器无法ping（我看到数据包击中以前的规则），但我的虚拟机仍然能够ping。 我不明白为什么来自虚拟机的stream量绕过了规则。

• Ubuntu 16.04随机发送IP
• 使用iptables转发非标准端口
• 在安装/升级iptables rpm后，iptables从chkconfig开启
• iptables，所有的端口都打开了吗？ 我如何删除线？
• 如何将所有stream量从特定端口路由到特定networking接口？

 iptables -A FORWARD -p icmp -m icmp --icmp-type 8 -j DROP