libvirt网络过滤规则：禁止客户机（bridge方式）连接外网

首先是libvirt定义网络过滤规则的相关命令：

virsh nwfilter-define

后面加上一个xml文件，从一个XML文件中定义或者更新一个网络过滤规则。

virsh nwfilter-dumpxml

后面加上某个网络过滤规则的名称，查看一个网络规则的XML详细信息。

virsh nwfilter-edit

后面加上某个网络过滤规则的名称，编辑一个网络规则。

virsh nwfilter-list

列出所有定义成功的网络过滤规则。

virsh nwfilter-undefine

后面加上一个网络过滤规则的名称，须消该网络过滤规则。

注意：定义网络过滤规则可以无视客户机的状态，并且可以及时生效，即使在客户机活跃的情况下。

禁止客户机使用外网时的xml文件内容：

<filter name='no-ip-inout' chain='ipv4'>
    <uuid>fce8ae34-e69e-83bf-262e-30786c1f8072</uuid>
    <rule action='accept' direction='out' priority='100'>
        <ip srcipaddr='192.168.x.0' dstipaddr='255.255.255.255' protocol='udp' srcportstart='67' srcportend='67' dstportstart='67' dstportend='68'/>
    </rule>
    <rule action='accept' direction='in' priority='100'>
        <ip protocol='udp' srcportstart='67' srcportend='68' dstportstart='67' dstportend='68'/>
    </rule>
    <rule action='drop' direction='out' priority='200'>
        <ip match='no' dstipaddr='192.168.x.0' dstipmask='255.255.255.0'/>
    </rule>
</filter>

drop.xml

允许客户机使用外网时的xml文件内容：

<filter name='no-ip-inout' chain='ipv4'>
    <uuid>fce8ae34-e69e-83bf-262e-30786c1f8072</uuid>
    <rule action='accept' direction='out' priority='100'>
    </rule>
</filter>

accept.xml

linux和DHCP与UDP相关的端口分别是67和68号端口，定义优先级为100的规则：允许源地址接受DHCP和UDP信息，并且可以发送UDP信息，目的地址也一样。定义优先级为200的规则：丢弃所有发发送到网管的包。通过优先级可以获取到需要的信息，（如DHCP网络的获取），并且限制虚拟机上网，丢弃发送出去的包。

当使客户机禁止使用外网的时候：

virsh nwfilter-define drop.xml

当使客户机可以使用外网的时候：

virsh nwfilter-define accept.xml

当要取消这个网络过滤规则的时候：

virsh nwfilter-undefine no-ip-inout

时间： 2024-12-08 22:22:47

libvirt网络过滤规则：禁止客户机（bridge方式）连接外网的相关文章

Netruon 理解（12）：使用 Linux bridge 将 Linux network namespace 连接外网

学习 Neutron 系列文章: (1)Neutron 所实现的虚拟化网络 (2)Neutron OpenvSwitch + VLAN 虚拟网络 (3)Neutron OpenvSwitch + GRE/VxLAN 虚拟网络 (4)Neutron OVS OpenFlow 流表和 L2 Population (5)Neutron DHCP Agent (6)Neutron L3 Agent (7)Neutron LBaas (8)Neutron Security Group (9)Neutro

VMware10中的Linux系统利用NAT网络连接方式访问外网配置

一.描述在VMware10中提供常见的三种网络连接方式 : 1.Bridge:这种方式最简单,直接将虚拟网卡桥接到一个物理网卡上面,与linux下一个网卡绑定两个不同地址类似,实际上是将网卡设置为混杂模式,从而达到侦听多个IP的能力. 在此种模式下,虚拟机内部的网卡(例如linux下的eth0)直接连到了我们真实物理网卡所在的网络上,相当于虚拟机和真实主机处于对等的地位,在网络关系上是平等的,没有谁在谁后面的问题.使用这种方式很简单,前提是你有1个以上的IP地址,这个不太适合使用. 2.na

Hyper-V虚拟机配置内部网络固定IP 并且连接外网

2019/10/23 Hyper-V CentOS7 摘要:Hyper-V中的虚拟机CentOS7能固定IP,保证宿主机的Xshell始终只用同一个IP连接到该虚拟机一.新建一个内部网络虚拟交换机二.修改虚拟网卡IP地址经过第一步后,网络连接中会出现刚刚新建的虚拟网卡InternalNat 1.打开控制面板-网络和Internet-网络连接 2.找到刚刚新建出来的虚拟网卡 3.右击该网卡,属性-网络-Internet协议版本4(TCP/IPv4) 4.填写固定IP地址,我这里填写的是19

C++实现获取本机机器名及外网IP代码

#include "stdafx.h" #include <WINSOCK2.H> #include <urlmon.h> #pragma comment(lib, "ws2_32.lib") #pragma comment(lib, "urlmon.lib") #define MAX_SIZE 1024 int GetLocalIP(); int GetInternetIP(); int main(int argc, c

iptables 防火墙在网络中的应用及设置ftp服务的外网访问

由前面所说已经建立了内外网已经建立了链接. 而防火墙在网络中的应用设置在网关的FORWARD链上默认FORWARD是ACCEPT. 这里我们将其改为DROP iptables -P FORWARD DROP 然后添加规则. 这里我们限制只有外网可以访问内网的web服务.而内网不允许访问外网这里一旦转发设置为DROP那么所有服务都不能访问,必须设置规则. iptables -A FORWARD -d 192.168.20.2 -p tcp --dport 80 -j ACCEPT iptabl

VM软件的虚拟机ubuntu的nat链接链接外网（背景：物理机：win7、外网：CMCC-EDU）

概述:NAT链接相当于由一个或多个虚拟机构建一个局域网(局域网里的ip只是最后一位不同),把物理机当成路由器(局域网ip是由路由器分配的),本质是实现一个局域网和路由器的链接. 桥接是在有路由器的情况下,把虚拟机看成是物理机,两者独立地去链接路由器(两者的ip不同,都由路由器分配). PS:我在没有路由器的前提下桥接虚拟机和物理机,结果只能是虚拟机和物理机互通,物理机可以链接外网,但虚拟机不可以. 一.设置外网连接共享二.按上图步骤设置完成后,查看VMnet8的ip和子网掩

吴裕雄--天生自然 HADOOP大数据分布式处理：CenterOS 7 多台物理机、虚拟机相互桥连接ping通，并且能够成功连接外网

选择用于桥接模式下的虚拟交换机,并且要选择对应的有线或者无线的网卡,如果主机是插网线联网的,那就选择有线网卡,如果主机是连无线网络的就选择无线网卡. 什么是桥接模式?桥接模式就是将主机网卡与虚拟机虚拟的网卡利用虚拟网桥进行通信.在桥接的作用下,类似于把物理主机虚拟为一个交换机,所有桥接设置的虚拟机连接到这个交换机的一个接口上,物理主机也同样插在这个交换机当中,所以所有桥接下的网卡与网卡都是交换模式的,相互可以访问而不干扰.在桥接模式下,虚拟机ip地址需要与主机在同一个网段,如果需要联网,则网关与

虚拟机中实现rhel 6.5 与真机无线和有线桥接连接外网

一.真机无线连或有线连接到网络后开始以下配置 1.首先真机联网正常 2.在虚拟机中选择和配置虚拟网卡 3.配置网卡参数: /etc/sysconfig/network-scripts/ifcfg-eth0 配置参数如下: 4.更改虚拟机设置为桥接模式 5.选择网络连接 6.实现正常上网 service network restart

微信公众号开发之怎样将本机IP映射成外网域名

近期一个项目须要用到微信公众号的网页授权登录,在研究这个公众号的时候遇到各种困难,现将自己的一些心得总结一下. 我想进行微信公众号开发遇到的第一个困难就是微信公众号必须输入一个外网能够訪问的域名,在网上我看到的都是使用ngrok或者花生壳的.但事实上不是必需这么麻烦.那么怎样做呢? 1.下载QQ浏览器我想程序猿用的浏览器一般都是chrome,IE和火狐等,基本看不上QQ浏览器,但假设要开发微信公众号,我是强烈推荐下载QQ浏览器,由于都是腾讯的产品. 2.下载微信调试工具 i)在QQ浏览器中打开