我处于一种奇怪的情况,我需要做以下事情:
将OpenVPN隧道连接到静态RFC1918 IP(服务器端10.3.3.1,客户端10.3.3.2),直接由KVM客户端使用。 我试图实现的是KVM客人不知道任何有关局域网和只有VPN隧道。
编辑 :所以,我不需要惹火墙:-)
通常我会尝试通过KVM的接口连接tun设备,并为KVM分配一个静态IP(10.3.3.2)。 这是明智的还是有更好的办法?
好的,事情变得相当复杂。 所以我没有。 我select了防火墙解决scheme。
现在,KVM Guest被设置为桥接连接并具有固定的MAC / IP。 在主机上使用ebtables,我指定访客只能连接到路由器的MAC地址,而且我还限制访客MAC使用IP设置,否则会自动closures。 这样我就可以在路由器上使用普通的iptables来允许从Internet上的Guest到VPN Server的连接。 我已经完成了五行深思熟虑的ebtables / iptables规则。 其他任何东西(子网内的ARP或IP通信,与互联网上的其他主机通信)都会被静默地丢弃。
通过这种设置,当不通过VPN联机时,Guest不能发现在路由器之外的同一子网上还有其他主机。 互联网也只包括VPN服务器。 在我看来很好 :-)