KVM虚拟机中，宿主机的iptables对客户机的影响？

dualgaun

KVM虚拟机已经配置完毕，
宿主机CentOS 5.8 64bit, 客户机windows server 2008采用桥接方式，运行正常；

我原以为宿主机上的iptables应该管不到对客户机的访问（因为他俩是并列关系），结果却不是；比如：如果我想远程访问客户机的3389端口，就需要宿主机iptables上开启该端口；如果客户机访问外网，也需要关闭物理机iptables；


我现在有点懵了，比如一条客户机的访问，它的数据走向到底是啥样的呢？


配置KVM虚拟机的物理机，它的iptables大家一般咋设置？

求解~~~

cu_little_bird

kvm guest不管用什么方式联网， 都是要通过host的

dualgaun

那请问宿主机iptables怎么设呢？是设置INPUT/OUTPUT，还是有FORWARD？
比如规则：
1. 允许80端口开放；
2. 允许客户机能进行外网访问

回复 2# cu_little_bird


   

cu_little_bird

iptables 我不太熟悉，你都能列举了，可以分别试一下就知道结果了。回复 3# dualgaun


   

thinalai

回复 3# dualgaun


    如果是NAT的话，你就要增加到 nat 的 PREROUTING 表；
    如果是Bridge的话，你就要增加到 filter 的 FORWARD 表；

dualgaun

正解

回复 5# thinalai


   

wantfly

好好研讨一下libvirt的WIKI文档，里面有关network章节中有详细的说明 ，包括libvirt对iptables 的影响， 宿主机中iptables中的设置，以及VM的XML文件中的各个参数的设置，都有很好的解释举例。
http://wiki.libvirt.org/page/Networking

qq2049960367

大家要是碰到虚拟化识别usb加密狗问题，可以加QQ2049960367