Я искал умное решение для брандмауэра XenServer около месяца. Документация по новому сетевому бэкэнду по умолчанию "openvswitch" не так подробна, и я едва могу найти руководства по фильтрации пакетов с помощью OVS. Другой вариант - это мост linux с iptables (который я собираюсь оценить в ближайшие пару дней).
Как вы используете брандмауэр с XenServers? Используете ли вы для этого Dom0, у вас есть выделенная виртуальная машина для этого ...?
Моя реализация заключается в развертывании PV Guest, предназначенного для выполнения функций брандмауэра. Но вы все равно должны укрепить dom0.