Hallo,

ist es möglich auf dem Host System Iptables Regeln für den Gast zu erstellen?

Meine virtuellen Maschinen sind mit bridged Networking eingerichtet. Auf dem Host sind dann die vmnet Schnittstellen erstellt worden.


eth0 Protokoll:Ethernet Hardware Adresse 00:12:3F:2B:C0:51
inet Adresse:192.168.1.33 Bcast:192.168.1.255 Maske:255.255.255.0
inet6 Adresse: fe80::212:3fff:fe2b:c051/64 Gültigkeitsbereich:Verbindung
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:174732 errors:0 dropped:0 overruns:0 frame:0
TX packets:665768 errors:0 dropped:0 overruns:0 carrier:0
Kollisionen:0 Sendewarteschlangenlänge:1000
RX bytes:244759972 (233.4 MiB) TX bytes:409519982 (390.5 MiB)
Interrupt:66

lo Protokoll:Lokale Schleife
inet Adresse:127.0.0.1 Maske:255.0.0.0
inet6 Adresse: ::1/128 Gültigkeitsbereich:Maschine
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:948 errors:0 dropped:0 overruns:0 frame:0
TX packets:948 errors:0 dropped:0 overruns:0 carrier:0
Kollisionen:0 Sendewarteschlangenlänge:0
RX bytes:32792 (32.0 KiB) TX bytes:32792 (32.0 KiB)

vmnet1 Protokoll:Ethernet Hardware Adresse 00:50:56:C0:00:01
inet Adresse:192.168.77.1 Bcast:192.168.77.255 Maske:255.255.255.0
inet6 Adresse: fe80::250:56ff:fec0:1/64 Gültigkeitsbereich:Verbindung
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:39 errors:0 dropped:0 overruns:0 carrier:0
Kollisionen:0 Sendewarteschlangenlänge:1000
RX bytes:0 (0.0 b) TX bytes:0 (0.0 b)

vmnet8 Protokoll:Ethernet Hardware Adresse 00:50:56:C0:00:08
inet Adresse:172.16.234.1 Bcast:172.16.234.255 Maske:255.255.255.0
inet6 Adresse: fe80::250:56ff:fec0:8/64 Gültigkeitsbereich:Verbindung
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:39 errors:0 dropped:0 overruns:0 carrier:0
Kollisionen:0 Sendewarteschlangenlänge:1000
RX bytes:0 (0.0 b) TX bytes:0 (0.0 b)



Kann ich mittels iptables darauf irgendwie einwirken?
Ich möchte eigentlich nur die temporär auf dem Host allen Traffic eines Clients sperren (Drop).

Grüße.
craano.

Da die verwendeten IP-Adressen virtuellen NIC gebunden sind, unterliegen sie grundsätzlich den Filterregeln auf den physikalischen NIC.

Oder was meinst Du?

Ja, das dachte ich mir.
Nur wie kann ich denn das "Bridge Device / Interface" mit einer Netfilter Regel erfassen?

Konkret möchte ich, dass bestimmte Gast Systeme (Win XP Home) nicht permanenten Netzzugriff haben sobald sie laufen. Dazu hätte ich gerne auf dem Host Netfilter Regeln, um den Netzwerkverkehr für diesen Gast zu droppen.

Vom Host aus deshalb, weil ich nicht jedes mal den Gast auf den Schirm holen möchte, um das Netzwerk per Firewall auf dem Gast zu öffnen oder zu schließen.

Natürlich will ich keine Regel, die auch den Traffic des Hosts unterbindet.

Grüße.
craano.

iptables -i vmnetX

Wobei die Regeln natürlich erst greifen könnten, wenn vmnetX existiert ...

Super, danke Dir.

Manchmal kann die Lösung so einfach sein und lauf mal wieder blind durchs Leben.

Grüße.
craano.