我试图通过混杂设备和附加的 macvtap 将 libvirt (qemu) 虚拟机暴露给单独地址上的开放世界,但同时保护本地网络免遭窥探,例如通过禁止 192.168.0.0/16 (特殊地址(广播/网关/DNS)除外)。但是,看起来我的规则并未完全应用于子 macvtap 设备,甚至规则集中具有最低优先级的推荐元跟踪标志也仅标记 enp88s0 数据包,而不标记 macvtap0 数据包。是否可以使用 nftables 拦截 macvtap 流量?如果是这样,怎么办?
主页
/
user-195634
Etki's questions
Etki
Asked:
2021-09-08 09:03:00 +0800 CST
我正在尝试为我的笔记本电脑构建一个简单的级联 DNS 解析算法:
- 查询 DHCP 提供的服务器
- 未找到/失败?查询 8.8.8.8 及其好友
- 未找到/失败?在 127.ABC 上查询本地 dnsmasq
目前,似乎只有在前一个服务器以某种方式失败时才请求下一个服务器,但如果它以空回复回复,则解析过程停止。
是否可以通过内核机制或 systemd-resolved 强制 Linux 驱动的机器以上述级联方式执行此操作?通过 dnsmasq 路由请求肯定是可能的(在第一个server=
指令中设置 systemd-resolved 以将查询转发到 DHCP 提供的服务器),但我更喜欢采用不那么混乱的方式,尽可能保持我的发行版完好无损。
Etki
Asked:
2015-10-14 00:23:59 +0800 CST
是否有任何 docker CLI 命令可以向我显示有关公共注册表中图像的所有信息(包括可用的图像版本)?如果我的最新图像真的是最新的,我很想偶尔检查一下。至于现在,我只发现了不提供此类信息的搜索命令。