旨在对宿主机和虚拟机的访问建立白名单,只允许公司指定IP的访问
创建IP地址白名单
ipset create whitelist hash:net
ipset add whitelist 10.0.1.52
ipset add whitelist 10.0.1.142
把FORWARD和INPUT导入到自定义链
iptables -N custom
影响虚拟机
iptables -A FORWARD -m physdev --physdev-in em3 -j custom
影响宿主机
iptables -A INPUT -i br0 -j custom
除了ipset白名单里的IP都拒绝访问
iptables -A custom -p tcp -m set --match-set whitelist src -j ACCEPT
iptables -A custom -p tcp -j DROP
日常工作--维护白名单
ipset del whitelist 10.0.1.52