1.1 Network Filters介紹

Network filtering XML為虛擬化系統管理員提供了一種網絡流量的過濾規則，系統管理員可以通過配置過濾參數實施和管理對虛擬機網絡流量的接受和轉發，由于過濾規則不能繞過直接進入虛擬機內，使得一個filter對虛擬用戶的訪問控制具有強制性。

Network filtering 子系統允許每一個虛擬機的網絡過濾表可以被單獨配置，我們可以在啟動時配置虛擬機的訪問控制過濾表，也可以在虛擬器運行時對虛擬機的規則進行修改，后者可以通過修改network filter XML的方式進行。

Libvirt 允許多臺虛擬機共用一個，當filter被修改時所有運行的虛擬機都會自動更新filter的過濾規則。

Network filtering XML部署在KVM Server上可以實現：虛擬網絡隔離、入侵防護、批量管理等功能，Openstack的網絡控制就是基于Networkl filter。

1.2 實現原理

chain類型：所有過濾規則都被組織到一個過濾鏈中，數據包經過這些過濾鏈被選擇進入虛擬機或是DROP掉，鏈都有不同的優先級，root鏈的優先級最高。所有的數據包必須先經過root鏈后才可能繼續到其他過濾規則中匹配。

priority優先級的設定：所有鏈都被連接到root鏈中，優先級的值越小，優先級越高，用戶可以定義自己的優先級數值，取值范圍(100,1000)下邊是官方提供的默認優先級：

1.3 過濾規則語法

1.3.1 示例規則

[root@KVM ~]# virsh nwfilter-dumpxml no-ip-spoofing

f1f35512-7ef2-46f9-8c29-2b59f2905d69

1.3.2 filte字段

name：唯一，指定filter的名稱，后面引用時使用

chain：指定鏈類型，目前已經存在的鏈有：

root

mac (since 0.9.8)

stp (spanning tree protocol) (since 0.9.8)

vlan (802.1Q) (since 0.9.8)

arp, rarp

ipv4

ipv6

priority：指定優先級

uuid：唯一值

rule：指定規則具體內容

1.3.3 rule規則

action：必選項，指定動作：drop，reject，accept，return，continue

direction：必選項，傳入：in，傳出：out，傳入和傳出：inout

priority：可選項，優先級

statematch：可選的，默認是true，即開啟匹配的底層連接狀態，0或false關閉

內容：根據選擇的鏈不同，使用不同的參數規則匹配，具體參見官方文檔

1.4 相關命令

1.4.1 查看過濾規則

[root@KVM ~]# virsh nwfilter-list

UUID ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?Name

------------------------------------------------------------------

efd8cd06-e22d-4916-92cb-2f40e4dcbe22 ?allow-arp

bc4e01e3-c972-4bf7-b380-c261138d142d ?allow-dhcp

25392b41-bda1-47c5-9473-8c0f6f2711c9 ?allow-dhcp-server

b7d7f239-ed03-4810-bb29-ad1877ef2487 ?allow-incoming-ipv4

fd4b35db-23ad-46c2-8fc4-0b883cdc3d7f ?allow-ipv4

eb60ceeb-ffbb-413d-ac35-291fab167484 ?clean-traffic

ba723fc5-970b-404e-997a-3fd186af4a1a ?clean-traffic-gateway

cdbcdf81-9e2b-4480-861b-6b1577e57546 ?no-arp-ip-spoofing

010f7cfd-c8e9-4ace-8841-436428b03ada ?no-arp-mac-spoofing

c9fb871f-23e2-4358-96ec-c287a4b5c50d ?no-arp-spoofing

97cf25e0-6d2a-498e-9c8a-dfffeec5b88e ?no-ip-multicast

f1f35512-7ef2-46f9-8c29-2b59f2905d69 ?no-ip-spoofing

67154bef-f80e-4889-9288-c2a68972d244 ?no-mac-broadcast

d4a91993-299b-460f-a094-5194d5ed4071 ?no-mac-spoofing

eacd541b-6e64-477f-bfe2-8e6ec815fea1 ?no-other-l2-traffic

1b2bf173-2d26-45eb-bf93-a2bd808c88ad ?no-other-rarp-traffic

26efad9c-d18b-490d-aeba-9b8df5e9aaa4 ?qemu-announce-self

f89283ba-4fc0-4682-a200-77ad87a0be8c ?qemu-announce-self-rarp

1.4.2 定義過濾規則

[root@KVM ~]# virsh nwfilter-define 規則名稱

1.4.3 編輯過濾規則

[root@KVM ~]# virsh nwfilter-edit 規則名稱

1.4.4 查看規則具體內容

[root@KVM ~]# virsh nwfilter-dumpxml 規則名稱

1.4.5 刪除過濾規則

[root@KVM ~]# virsh nwfilter-undefine 規則名稱

1.4.6 查看系統有沒有生效的規則

[root@KVM ~]# ebtables -t nat -L

1.4.7 使規則立即生效

[root@KVM ~]# virsh update-device 虛擬機名稱 規則名稱

1.5 編寫自己的過濾規則(禁止tpot訪問局域網其他服務器)

1.5.1 編寫規則文件

[root@KVM ~]# vim /etc/libvirt/nwfilter/tpot.xml

a37a0fc1-2926-4f83-beb9-681d942f7027

【規則說明】：

name='tpot'：規則名稱為tpot

chain='ipv4'：使用ipv4鏈進行過濾

action='drop' direction='out'：出方向禁止規則

match='yes'：匹配時執行action過濾規則；或者設置為no，不匹配時執行action

dstipaddr='$IP：目標IP地址，匹配地址為參數形式，后面在引用的時候定義

dstipmask='255.255.255.0'：目標IP子網掩碼

提示：KVM過濾規則默認保存位置：/etc/libvirt/nwfilter/

1.5.2 定義規則

[root@KVM ~]# virsh nwfilter-define /etc/libvirt/nwfilter/tpot.xml

1.5.3 引用規則

[root@KVM ~]# virsh edit Debian-Tpot

1.5.4 啟動虛擬機

[root@KVM ~]# virsh start Debian-Tpot

1.5.5 *查看定義后的過濾規則

[root@KVM ~]# virsh nwfilter-dumpxml tpot

a37a0fc1-2926-4f83-beb9-681d942f7027

1.5.6 *查看生效規則

[root@KVM ~]# ebtables -t nat -L

Bridge table: nat

Bridge chain: PREROUTING, entries: 1, policy: ACCEPT

-i vnet35 -j libvirt-I-vnet35

Bridge chain: OUTPUT, entries: 0, policy: ACCEPT

Bridge chain: POSTROUTING, entries: 0, policy: ACCEPT

Bridge chain: libvirt-I-vnet35, entries: 1, policy: ACCEPT

-p IPv4 -j I-vnet35-ipv4

Bridge chain: I-vnet35-ipv4, entries: 3, policy: ACCEPT

-p IPv4 --ip-dst 192.168.1.0/24 -j DROP

1.6 參考資料

總結

以上是生活随笔為你收集整理的virsh 网络设置_KVM使用Network Filters进行虚拟机网络管理 | leon的博客的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。