我正在KVM专用服务器上运行一些guest虚拟机,并且我想使用主机作为防火墙,使用转发规则来控制来自虚拟机pipe理程序的所有访问。
这是一个好主意,或者更好的是在每台客户机上运行iptables? 你知道任何类似的使用情况,或任何指导?
在我们公司,我们在KVM主机上设置防火墙,所以我们只configuration一次,而不是每个guest虚拟机。 你可以在这里阅读我们的shorewall设置: http : //www.ingent.net/ca/2012/03/server-virtualization-kvm-hetzner/
但只有在加泰罗尼亚,对不起
这取决于。 如果您控制主机和所有guest虚拟机,则在主机上configuration防火墙并使guest虚拟机处于打开状态更为简单。 如果您不控制主机,或者您需要客人更加独立(例如,由不同的人pipe理),那么在所有客人中configuration防火墙会更好(您仍然希望主机上的防火墙阻止访问自己)。 如果你真的是安全的偏执狂,你可能需要在主机和来宾上configuration防火墙。