防止 KVM/libvirt 中的 IP 劫持

Question

您无法在 Cisco 上使用交换机端口安全性，因为所有虚拟机都将共享一个物理交换机端口。您也无法使用 Linux，iptables因为流量是通过虚拟机管理程序计算机桥接而不是路由的。但是，您可以使用 Linux 模拟虚拟机管理程序上的交换机端口安全性ebtables，Linux 是 Linux 桥接上鲜为人知的 2/3 层防火墙。一个快速而粗略的例子（可能不完整；我一般不关心这个）：

# First allow some obvious stuff; might need other things I forgot about
ebtables -A FORWARD -p IPv4 -m ip --ip-source 0.0.0.0 -j ACCEPT
ebtables -A FORWARD -p IPv6 -m ip6 --ip6-source :: -j ACCEPT

# Prevent a source MAC address from using a wrong source IP
ebtables -A FORWARD -p IPv4 -s 52:54:00:70:C1:99 -m ip --ip-source ! 192.0.2.5 -j DROP
ebtables -A FORWARD -p IPv4 -s 52:54:00:A3:09:3F -m ip --ip-source ! 192.0.2.6 -j DROP
ebtables -A FORWARD -p IPv4 -s 52:54:00:18:65:2A -m ip --ip-source ! 192.0.2.7 -j DROP

Answer 1

您无法在 Cisco 上使用交换机端口安全性，因为所有虚拟机都将共享一个物理交换机端口。您也无法使用 Linux，iptables因为流量是通过虚拟机管理程序计算机桥接而不是路由的。但是，您可以使用 Linux 模拟虚拟机管理程序上的交换机端口安全性ebtables，Linux 是 Linux 桥接上鲜为人知的 2/3 层防火墙。一个快速而粗略的例子（可能不完整；我一般不关心这个）：

# First allow some obvious stuff; might need other things I forgot about
ebtables -A FORWARD -p IPv4 -m ip --ip-source 0.0.0.0 -j ACCEPT
ebtables -A FORWARD -p IPv6 -m ip6 --ip6-source :: -j ACCEPT

# Prevent a source MAC address from using a wrong source IP
ebtables -A FORWARD -p IPv4 -s 52:54:00:70:C1:99 -m ip --ip-source ! 192.0.2.5 -j DROP
ebtables -A FORWARD -p IPv4 -s 52:54:00:A3:09:3F -m ip --ip-source ! 192.0.2.6 -j DROP
ebtables -A FORWARD -p IPv4 -s 52:54:00:18:65:2A -m ip --ip-source ! 192.0.2.7 -j DROP

防止 KVM/libvirt 中的 IP 劫持

答案1

相关内容