Назад | Перейти на главную страницу

Сетевая фильтрация с libvirt + xen + bridge + nat?

Как я могу правильно добавить базовые сетевые фильтры (чистый трафик или, по крайней мере, предотвращение IP-спуфинга) для гостей XEN (xend), управляемых libvirt?

Или, в частности, могу ли я вручную выполнить nwfilters libvirt из скрипта (для заданных параметров)?

Я использую сеть libvirt для создания моста (default, мост virbr0), но, судя по всему, зены vif-bridge скрипт используется для инициализации сети виртуализированной системы, и libvirt отбрасывает nwfilter определения в xml домена (возможно, потому, что он преобразован в собственную конфигурацию xen).

Я тоже изучил эту тему. Вот что может предложить Xen 4.x, хотя это плохо документировано и не проиллюстрировано примерами сценариев.

xend-config.sxp - файл конфигурации демона Xen

vif-script Имя сценария в / etc / xen / scripts, который будет запускаться для настройки виртуального интерфейса при его создании или уничтожении. Это должно (в общем) работать в унисон с сетевым скриптом.

Вы можете переопределить глобальный vif-script используя script ключевое слово внутри vif значение option любой гостевой конфигурации.

Конфигурация сети XL

script Задает сценарий горячего подключения, запускаемый для настройки этого устройства (например, для добавления его к соответствующему мосту). По умолчанию XEN_SCRIPT_DIR / vif-bridge, но может быть установлен на любой сценарий. Некоторые примеры сценариев установлены в XEN_SCRIPT_DIR.

Для большинства систем Linux замените XEN_SCRIPT_DIR на /etc/xen/scripts.

Также есть по крайней мере еще одно конкретное решение в следующем обсуждении списка рассылки Xen-users: предотвращение спуфинга Hwaddr на мосту