[问题求助][RedHat] 关于iptables和虚拟机的问题，急需高手解决!【再开】--〉斑竹帮忙再开一下 [复制链接]

在l.inux server.上用VMWare做了几个虚拟机，现在想用iptables控制虚拟机的访问。 电影

我做了一下规则：不好使 .
Chain FORWARD (p.olicy ACCEPT.)               乙肝
targ.et prot .opt source destination 虚拟主机
DROP all -- 172.16.2.27.13.1(虚拟机的ip) mh-in-f104.google.com .


最后改成
Chain FORWA.RD(policy. DROP)            建材
target pr.o.t opt source destination .
DROP all -- anyw.her.e mh-in-f104.google.com 虚拟主机
都不起作用。。。

难道.iptables对虚拟机不起作用？？.默认为是本机？？？域名
是不是需要把虚拟.机设置点什么？？？           建材

[4-30]
今天.学习至顶的的材料，学习到IP欺.骗，然后终于自己找到解决方法了！~~ 哈哈电脑

1. 首先，把guest虚拟机的.网络设定改成Host-.only.学习
2. 必须手动设.定虚拟机ip.，网关设置为vmnet1的IP,ip地址也必须和vmnet1在同一段虚拟主机
3. 开启IP forwardi.ng功能.
   echo 1 > /proc/sys/net/ipv4/..ip_forward电脑
4.. 手动映射ip到eth0网络学习
iptables -t -nat -A POSTROUTING -o eth0 -s 1.92.168.134.12.8/24 -j MASQUERADE投资
或者
iptables -t -nat -A POSTROUTING -o .eth0 -s 192..168.134.128/24 -j SNAT .--to 208.48.153.120-208.48.153.140.
5. 写iptables规则
iptalbes -A FOR.WARD -s 192.168.134.128 -d .209.85.173.99 -j DROP    外汇
ipta.lbes -A FORW.ARD -s 192.168.134.129 -d 209.85.173.147 -j DROP            杀毒
2条都有效了，说明我成功.了！！哈哈.

这个就要相当于自己做了一个Bridge连接方式，不过这个方式是通过.iptables做的，当然也可以用它控制！.！ .

其实我几天前问的第一个帖子，斑竹kend.uest 和水田青蛙就已经给我正确答案了。但是说得不清楚，不够详细，我刚接触linux和这些东西，无法理解。另外，斑竹plat.inu.m给了我很多启示，谢谢大家了~~[成人用品]

[ 本帖最后由 steveclark 于 2008-5-1 08:43 编.辑 .]--- 印刷

没明白你的意思
FORWARD链只有用在NAT时才会起作用

要看你的网络是怎么配置的了。

QUOTE:原帖由 7717060 于 2008-4-26 13:31 发表
没明白你的意思
FORWARD链只有用在NAT时才会起作用


我把它放到output input里也不好使 .

Chain INPUT(policy ACCEPT)
target prot opt source destination
DROP all -- 172.16.227.131(虚拟机的ip) mh-in-f104.google.com


Chain OUTPUT(policy ACCEPT)
target prot opt source destination
DROP all -- 172.16.227.131(虚拟机的ip) mh-in-f104.google.com

QUOTE:原帖由 vermouth 于 2008-4-26 13:47 发表
要看你的网络是怎么配置的了。


应该怎么配置？才能让iptables可以控制虚拟机呢？ 控制一般的客户端机器怎么弄？

需要“网络拓扑”、“规则的逻辑正确性”与“访问测试方式”三者对应上才能看出效果

QUOTE:原帖由 platinum 于 2008-4-27 08:56 发表
需要“网络拓扑”、“规则的逻辑正确性”与“访问测试方式”三者对应上才能看出效果



网络拓扑:nat方式, 虚拟机就装在linux服务器上

规则的逻辑正确性:我吧FORWARD全部阻止了，另外input output也Drop了这个虚拟机的IP

访问测试方式:我就是直接ping mh-in-f104.google.com

QUOTE:原帖由 steveclark 于 2008-4-27 15:07 发表



网络拓扑:nat方式, 虚拟机就装在linux服务器上

规则的逻辑正确性:我吧FORWARD全部阻止了，另外input output也Drop了这个虚拟机的IP

访问测试方式:我就是直接ping mh-in-f104.google.com

你在 linux 宿主机上试试 iptables -t mangle -I PREROUTING -j DROP，若虚拟机还可以照常访问，则证明虚拟机不走这个流程

QUOTE:原帖由 steveclark 于 2008-4-26 12:33 发表
在linux server上用VMWare做了几个虚拟机，现在想用iptables控制虚拟机的访问。

我做了一下规则：不好使 .
Chain FORWARD (policy ACCEPT)
target prot opt source destination
DROP all -- 172.16.2 ...


首先，把策略设置好，到底如何设置策略验证。默认策略是丢弃所有，允许ping通过，还是允许所有，拒绝ping通过。

如果是前者，则可按如下方式书写验证之。

其次，确定网络连接方式，如果只有一台虚拟linux，设置nat方式与宿主主机网络相连通。

ping从linux主机出发：

iptables -F 清空原先可能存在于filter表的规则

iptables -P INPUT DROP

iptables -P OUTPUT ACCEPT ( 本机出去的通讯，比如ping包经此外出，icmp类型为echo-request)

iptables -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT (可直接ping宿主主机验证即可)

注意，此种情况下，ping验证时请不要ping 域名，或者于策略中使用域名，因为，策略中没有允许dns通讯的内容。