iptablesを使用したシンプルで安全なQEMUネットワーキング、ブリッジやタブは不要

iptablesを使用したシンプルで安全なQEMUネットワーキング、ブリッジやタブは不要

高速フィルタリングにはiptablesを使用できますが、ブリッジやタブインターフェイスなどを使用しない単純なQEMU VMネットワークを設定するにはどうすればよいですか?

答え1

[OK]、[OK]、およびユーザー分離(-Uフラグ)を使用して、systemd-nspawnコンテナでqemuを実行します。すべてのコンテナプロセスは、qemuを含む「vu-containername-number」形式です。その後、この仮想ユーザーコンテナ化されたqemuプロセス用のiptablesフィルタを作成でき、コンテナ内のすべてのトラフィックが処理されます(iptables ... -m Owner --uid-owner vu-blah-blah ... -j) 。 。ネットワーク設定は不要で、コンテナ化によりセキュリティが強化されました。

関連情報