如何向 libvirt 管理的 XEN(xend)客户机正确添加基本网络过滤器(清洁流量或至少是 ip 欺骗预防)?
或者,具体来说,我可以从脚本手动执行 libvirt 的 nwfilters(对于给定的参数)吗?
我正在使用 libvirt 的网络来创建网桥(default,bridge virbr0),但显然,xen 的vif-bridge脚本用于初始化虚拟化系统的网络,并且 libvirtnwfilter在域的 xml 中删除了定义(可能是因为它被转换为 xen 的本机配置)。
答案1
我也研究过这个问题。以下是 Xen 4.x 可以提供的功能,尽管它没有很好的文档记录和示例脚本说明。
xend-config.sxp - Xen 守护进程配置文件
vif-script/etc/xen/scripts 中用于设置虚拟接口的脚本名称,在创建或销毁虚拟接口时运行该脚本。这通常需要与网络脚本协同工作。
您可以在任何客户配置的选项值中vif-script使用script关键字来覆盖全局配置。vif
script指定要运行的热插拔脚本以配置此设备(例如将其添加到相关桥接器)。默认为 XEN_SCRIPT_DIR/vif-bridge,但可以设置为任何脚本。一些示例脚本安装在 XEN_SCRIPT_DIR 中。
对于大多数 Linux 系统,用 替换 XEN_SCRIPT_DIR /etc/xen/scripts。
以下 Xen 用户邮件列表讨论中至少还有一个更具体的解决方案:防止桥接上的 Hwaddr 欺骗