求助: KVM 虚拟机网络隔离问题

 https://www.v2ex.com/t/559121

因为我家里有一台服务器,所以打算利用闲置资源开 VPS 进行出租。考虑到安全问题,我需要禁止虚拟机访问物理机所在的网段,同时还需要禁止虚拟机之间互相访问,防止一台虚拟机中毒感染其他虚拟机。

简略网络架构图

img

目前有以下需求:

  1. 虚拟机之间不允许互相访问
  2. 虚拟机可以访问 192.168.122.1 网关
  3. 虚拟机不允许访问 192.168.3.xxx 网段,192.168.3.181 除外。

我尝试过 Libvirt 自带的 nwfilter 功能,我用了下面这个配置,但是会导致虚拟机不能上网

<filter name='deny-lan' chain='ipv4' priority='-700'>
  <uuid>fce8ae34-e69e-83bf-262e-30786c1f8079</uuid>
  <rule action='drop' direction='inout' priority='205'>
    <ip dstipaddr='192.168.122.0' dstipmask='24'/>
  </rule>
  <rule action='accept' direction='inout' priority='204'>
    <ip dstipaddr='192.168.122.1' dstipmask='32'/>
  </rule>
  <rule action='drop' direction='inout' priority='205'>
    <ip dstipaddr='192.168.3.0' dstipmask='24'/>
  </rule>
  <rule action='accept' direction='inout' priority='204'>
    <ip dstipaddr='192.168.3.181' dstipmask='32'/>
  </rule>
</filter>

具体我是参考这篇文章的: https://www.so-cools.com/?p=1087

搞了很久也没搞定这个问题,只能来求助万能的 V2EX 了……

可以用 iptables 或者其他东西,只要能实现上面三个需求就行,付费也可以(

  •  rule
  •  priority
  •  虚拟
  •  inout'
    5 条回复    2020-05-21 23:49:28 +08:00
    HuasLeung
        1
    HuasLeung   2019-04-27 06:58:03 +08:00 via Android   ❤️ 1
    看看这两个
    https://wiki.libvirt.org/page/VirtualNetworking

    https://www.linux-kvm.org/page/Networking
    singerll
        2
    singerll   2019-04-27 07:59:26 +08:00 via Android
    没有了解过 kvm 网络,不过你可以用一些轻量私有云。有个疑问,虚拟机为什么可以访问宿主机???
    singerll
        3
    singerll   2019-04-27 08:01:00 +08:00 via Android   ❤️ 1
    你也可以三个虚拟机创建三个桥接网卡,删除相关路由表试一试
    gam2046
        4
    gam2046   2019-04-27 09:43:16 +08:00   ❤️ 2
    参考方案:
    物理机物理网络出口 eth0 (假设物理网络网段:192.168.200/24 )
    每个 VM 使用一个独立网卡 nat,并划定一个固定网段,如 192.168.100.0/24。每个虚拟机可以使用相同的网段,因相互不同,不存在冲突。

    此时,每个虚拟机之间是无法相互访问的。
    在物理机上使用 iptables,将来源 IP 为 192.168.100.0/24 且目标位置为 192.168.200.0/24 的数据包直接 drop 即可(似乎直接丢 INPUT 链就可以?)

    当然 NAT 的方案也可以用 VLAN 来实现,其他都一样。
    woyaojizhu8
        5
    woyaojizhu8   337 天前
    @gam2046 请问,如果还要禁止它访问物理机,应该怎么做?比如物理机上开了一个 web 服务,因为疏忽监听了 0.0.0.0:80,得让这个虚拟机无法访问它

    留言

    張貼留言

    這個網誌中的熱門文章

    DeepNude 2.0 – Deepnude AI算法一键脱衣,绿色破解版,免费下载

    圖片
      最近很火的国外的AI算法脱衣软件:DeepNude 2.0, Deepnude AI算法“脱”衣服,官方售价50美元(现已下架),该版本未绿色破解付费版,无水印。感兴趣的朋友可下载尝试,对正面识别还好,侧面识别不太理想。 识别出来图片有些模糊,结合另一款 AI图片无损放大软件Topaz Gigapixel AI 与  Luminar AI一键智能修图软件 ,效果完美! DeepNude一键脱衣使用演示 软件使用说明: 1、软件为绿色版,不用安装直接解压运行DeepNude.exe即可使用。 2、需要注意软件所有文件目录层级不允许出现中文名字,处理的图片不易过大,图片不允许出现中文名字,否则容易闪退。 软件截图: 下载地址: 原始文件被人举报,文件链接失效,已重新压缩后给大家分享, 请勿在线解压,容易失效。 2020-10-11 文件重新压缩上传,下方为下载地址。 百度网盘  密码:23uj    解压密码: vipc6.com 2020-10-30 补充:https://pan.baidu.com/s/1PWNrlHR62ZzzAz6io8DSQg#list/path=%2F 一键脱衣DeepNude软件解压演示 部分网友评论说解压密码错误或者不会解压,文件亲测保证可用。请把文件全部下载到本地之后解压,解压密码全部小写,不要有空格,请参考上图,如有疑问,欢迎评论。
    閱讀完整內容

    用数字货币洗钱,警察蜀黍就没招了吗?| 浅黑笔记

    圖片
      “我跟你讲,比特币这个东西啊,知道它为什么这么值钱吗?因为洗钱特别方便。” 那天夜里, 朋友陈小胖一边撸着 羊 肉串一边 跟 我说 。 那阵子 ,比特币价格一路窜到逼近四万美元一枚,尽管距离 币 圈当初的名言: “一 币 一 别墅, 一 币一嫩模 ” 还有些差距, 但已经差不多能买到一辆特斯拉,于是朋友聚会撸串难免聊到数字货币的话题。 陈小胖来自传统行业,对前沿科技感兴趣,却了解得不深,我觉得他对数字货币的印象,恰能代表很多人。 这种印象,大概和“比特币”、“洗钱”两个词经常 在新闻里结伴出现有关。 那么问题来了: 既然连你都知道比特币能洗钱,大家还公开聊这个事,那反洗钱机构和执法部门是怎么打击的呢? 靠嘴巴来炮轰比特币吗?当然不是,否则我也不敢写啊哈哈。 说来也巧,2020年底 ,我在CIS网络安全创新大会上恰好听到一个演讲,主题就是 《虚拟货币时代如何反诈骗和反洗钱》, 演讲者是区块链安全公司 PeckShield 派盾的反洗钱业务负责人李瑞,他们协助警方搞过不少案子,是妥妥的实战派。 今天跟大家分享一下我听他演讲时的一些笔记和感想。 如果大家有兴趣,之后有机会 再 专 门去撩一撩 。 由于疫情缘故,这是一个线上演讲,右下角就是李瑞 一、为什么数字货币能洗钱? 首先我们还是得承认,数字货币确实被一些人拿来洗钱。 而且越来越多的犯罪分子开始从“传统的”洗钱方法转向数字货币。 比如杀猪盘。(不知道杀猪盘的先看这篇 《 看了3天诈骗团伙内训资料,我流下一身冷汗和自叹不如的泪 》 ) 之前杀猪盘最典型的杀猪方法就是 把受害者引诱到假赌博网站 ,2020年下半年开始, 越来越多的杀猪团伙转向让受害者充值数字货币 (原因后面会说)。 考虑到有一部分浅友对数字货币并不太熟悉,这里先科普了一下 为什么数字货币能用来洗钱 。 李 瑞在演讲里给大家总结了这么几个原因: 原因一:涉及跨国交易,冻结资金难 法定货币是受到跨国资金管制的。 如果你要把一笔人民币变成美元汇到国外,必须先在银行购买外汇,整个汇款过程是受到外汇管制的,比如有规定一般情况下每年每人只有5万美元的购汇额度。 然鹅,数字货币的账户 (钱包地址) 没有国界概念,也不受外汇管制。 犯罪分子把一笔境内资产转移到海外,只需要在交易所或者私底下找人换成数字货币,直接转账到海外的 (其实不分海外与国内) 钱包地址,再...
    閱讀完整內容

    最简单的Trojan一键脚本,效率高/速度快/延迟低,支持tls1.3,系统要求>=Centos7

    圖片
    最简单的Trojan一键脚本,效率高/速度快/延迟低,系统>=Centos7,完美支持tls1.3,个人体验速度和延迟都优于v2ray+ws+tls1.3,本次的centos版使用了官方编译的二进制文件,搭建非常快速和简单。脚本中集成了Trojan的Windows客户端,自动配置证书及启动脚本,安装完成直接下载客户端即可。 系统要求及脚本介绍 1、系统>=centos7,用centos8最好,内核可直接开启bbr不需升级。 2、域名解析到VPS并生效。 3、脚本自动续签https证书 4、自动配置伪装网站,位于/usr/share/nginx/html/目录下,可自行替换其中内容 一、使用一键脚本安装 curl - O https : //raw.githubusercontent.com/atrandys/trojan/master/trojan_centos7.sh && chmod +x trojan_centos7.sh && ./trojan_centos7.sh 另外建议安装bbr,以下脚本安装,不赘述了 cd / usr / src && wget - N -- no - check - certificate "https://raw.githubusercontent.com/chiakge/Linux-NetSpeed/master/tcp.sh" && chmod + x tcp . sh && ./ tcp . sh 二、下载Windows客户端 安装完成后,会展示一条下载地址,复制地址,并下载下来即可。 三、搭配浏览器插件使用 解压缩下载的trojan-cli.zip的压缩包,进入文件夹,双击start.bat,开启Trojan服务,Trojan会监听本地1080端口。然后下载switchomega 下载插件: switchyomega 安装插件,打开chrome,打开扩展程序,将下载的插件拖动到扩展程序页面,添加到扩展。 完成添加,会跳转到switchyomega页面,点跳过教程,然后点击proxy,如图填写,最后点击应用选项。 ...
    閱讀完整內容