麒麟V10操作系統之KVM部署虛擬機_麒麟v10安裝kvm-CSDN博客文章瀏覽閱讀3.7k次，點贊30次，收藏25次。本文介紹了在麒麟V10操作系統上部署KVM虛擬機的詳細步驟，包括檢查虛擬化支持、安裝KVM組件、創建虛擬機、配置網絡橋接，以及解決可能遇到的問題。特別強調了如何處理網卡橋接和配置文件的持久化設置。https://blog.csdn.net/qq_53146347/article/details/137963006?fromshare=blogdetail&sharetype=blogdetail&sharerId=137963006&sharerefer=PC&sharesource=qq_53146347&sharefrom=from_link其實我們可以看到，現在只是用到了麒麟操作系統上的KVM服務，本質上麒麟操作系統是可以不需要對外提供服務的，因此我們可以直接把麒麟操作系統封鎖了那需要怎么操作呢？

KVM橋接模式中網絡網卡與虛擬網卡之間的關系

可以看到，在KVM中創建出來的虛擬網卡是Virbr0，橋接到了物理網卡eno3上，此時br0網口有一個IP：1.64

?我們再看下eno3的IP地址

確認了是同一網段，1.64是我們需要對外提供服務的IP，而1.112是麒麟V10對外提供服務用的，聰明的你是不是和我想的一樣，直接在麒麟V10底層啟用iptables規則攔截1.112豈不是就好了。

iptables規則攔截機制?

答對了，是這樣的，但是有沒有發現有一個小疑惑的地方？在同一物理網口上起了橋接，封堵了服務器的IP地址那我內部KVM服務的IP是否還能通呢？又為什么能通呢？

首先，我們通過下面的命令將1.112所有的出站數據包全部攔截：

iptables? -A? OUTPUT -s X.X.1.112 -j DROP

此時，我們再想網絡在進行TCP連接時的，數據包轉發過程，是不是這樣：

1. ?ARP探測階段?（局域網內）

   • [客戶端→廣播] ARP請求幀：Who has [目標]? Tell [客戶端MAC]
   • [目標→客戶端] ARP響應幀：[目標MAC] is at [目標IP]

2. ?TCP三次握手?

   • [客戶端→目標] SYN（Seq=x）
   • [目標→客戶端] SYN+ACK（Seq=y, Ack=x+1）
   • [客戶端→目標] ACK（Ack=y+1）

3. ?SSH協議交互?

   • [目標→客戶端] SSH版本字符串（如"SSH-2.0-OpenSSH"）
   • [客戶端→目標] 支持的SSH版本響應
   • 雙方交換算法列表（加密/HMAC/壓縮等）

顯然我相信你肯定看出端倪了，根據TCP/IP協議棧劃分，IP屬于三層協議，iptables也是作用于三層和四層，所以每一個IP都是獨立的邏輯接口，所以不論是一個接口上有多IP還是同一個接口做了橋接，封堵其中一個IP是不會影響另一個IP的出入站的。