我有一KVM台运行 4 个虚拟机的服务器。这些虚拟机只有一个接口,所有接口都连接到同一个OVS网桥。
我试图使用以下 iptables 命令阻止这些虚拟机上的 ping
iptables -A OUTPUT -o ${tap_interface} -p icmp -m icmp --icmp-type 8 -j DROP
但是,它不起作用。然后我说,让我们回到基础并阻止所有 ping 消息,甚至是来自服务器的消息。所以我执行了:
iptables -A OUTPUT -p icmp -m icmp --icmp-type 8 -j DROP
现在的情况是我的服务器无法 ping(并且我看到数据包符合之前的规则),但我的虚拟机仍然能够 ping。我不明白为什么来自虚拟机的流量会绕过规则。
路由时使用 FORWARD 表: