Как я могу правильно добавить базовые сетевые фильтры (чистый трафик или, по крайней мере, предотвращение IP-спуфинга) для гостей XEN (xend), управляемых libvirt?
Или, в частности, могу ли я вручную выполнить nwfilters libvirt из скрипта (для заданных параметров)?
Я использую сеть libvirt для создания моста (default
, мост virbr0
), но, судя по всему, зены vif-bridge
скрипт используется для инициализации сети виртуализированной системы, и libvirt отбрасывает nwfilter
определения в xml домена (возможно, потому, что он преобразован в собственную конфигурацию xen).
Я тоже изучил эту тему. Вот что может предложить Xen 4.x, хотя это плохо документировано и не проиллюстрировано примерами сценариев.
xend-config.sxp - файл конфигурации демона Xen
vif-script
Имя сценария в / etc / xen / scripts, который будет запускаться для настройки виртуального интерфейса при его создании или уничтожении. Это должно (в общем) работать в унисон с сетевым скриптом.
Вы можете переопределить глобальный vif-script
используя script
ключевое слово внутри vif
значение option любой гостевой конфигурации.
script
Задает сценарий горячего подключения, запускаемый для настройки этого устройства (например, для добавления его к соответствующему мосту). По умолчанию XEN_SCRIPT_DIR / vif-bridge, но может быть установлен на любой сценарий. Некоторые примеры сценариев установлены в XEN_SCRIPT_DIR.
Для большинства систем Linux замените XEN_SCRIPT_DIR на /etc/xen/scripts
.
Также есть по крайней мере еще одно конкретное решение в следующем обсуждении списка рассылки Xen-users: предотвращение спуфинга Hwaddr на мосту