libvirt网络过滤规则:禁止客户机(bridge方式)连接外网
2015-03-30 14:26
399 查看
首先是libvirt定义网络过滤规则的相关命令:
virsh nwfilter-define
后面加上一个xml文件,从一个XML文件中定义或者更新一个网络过滤规则。
virsh nwfilter-dumpxml
后面加上某个网络过滤规则的名称,查看一个网络规则的XML详细信息。
virsh nwfilter-edit
后面加上某个网络过滤规则的名称,编辑一个网络规则。
virsh nwfilter-list
列出所有定义成功的网络过滤规则。
virsh nwfilter-undefine
后面加上一个网络过滤规则的名称,须消该网络过滤规则。
注意:定义网络过滤规则可以无视客户机的状态,并且可以及时生效,即使在客户机活跃的情况下。
禁止客户机使用外网时的xml文件内容:
drop.xml
允许客户机使用外网时的xml文件内容:
accept.xml
linux和DHCP与UDP相关的端口分别是67和68号端口,定义优先级为100的规则:允许源地址接受DHCP和UDP信息,并且可以发送UDP信息,目的地址也一样。定义优先级为200的规则:丢弃所有发发送到网管的包。通过优先级可以获取到需要的信息,(如DHCP网络的获取),并且限制虚拟机上网,丢弃发送出去的包。
当使客户机禁止使用外网的时候:
virsh nwfilter-define drop.xml
当使客户机可以使用外网的时候:
virsh nwfilter-define accept.xml
当要取消这个网络过滤规则的时候:
virsh nwfilter-undefine no-ip-inout
virsh nwfilter-define
后面加上一个xml文件,从一个XML文件中定义或者更新一个网络过滤规则。
virsh nwfilter-dumpxml
后面加上某个网络过滤规则的名称,查看一个网络规则的XML详细信息。
virsh nwfilter-edit
后面加上某个网络过滤规则的名称,编辑一个网络规则。
virsh nwfilter-list
列出所有定义成功的网络过滤规则。
virsh nwfilter-undefine
后面加上一个网络过滤规则的名称,须消该网络过滤规则。
注意:定义网络过滤规则可以无视客户机的状态,并且可以及时生效,即使在客户机活跃的情况下。
禁止客户机使用外网时的xml文件内容:
<filter name='no-ip-inout' chain='ipv4'> <uuid>fce8ae34-e69e-83bf-262e-30786c1f8072</uuid> <rule action='accept' direction='out' priority='100'> <ip srcipaddr='192.168.x.0' dstipaddr='255.255.255.255' protocol='udp' srcportstart='67' srcportend='67' dstportstart='67' dstportend='68'/> </rule> <rule action='accept' direction='in' priority='100'> <ip protocol='udp' srcportstart='67' srcportend='68' dstportstart='67' dstportend='68'/> </rule> <rule action='drop' direction='out' priority='200'> <ip match='no' dstipaddr='192.168.x.0' dstipmask='255.255.255.0'/> </rule> </filter>
drop.xml
允许客户机使用外网时的xml文件内容:
<filter name='no-ip-inout' chain='ipv4'> <uuid>fce8ae34-e69e-83bf-262e-30786c1f8072</uuid> <rule action='accept' direction='out' priority='100'> </rule> </filter>
accept.xml
linux和DHCP与UDP相关的端口分别是67和68号端口,定义优先级为100的规则:允许源地址接受DHCP和UDP信息,并且可以发送UDP信息,目的地址也一样。定义优先级为200的规则:丢弃所有发发送到网管的包。通过优先级可以获取到需要的信息,(如DHCP网络的获取),并且限制虚拟机上网,丢弃发送出去的包。
当使客户机禁止使用外网的时候:
virsh nwfilter-define drop.xml
当使客户机可以使用外网的时候:
virsh nwfilter-define accept.xml
当要取消这个网络过滤规则的时候:
virsh nwfilter-undefine no-ip-inout
相关文章推荐
- libvirt网络过滤规则:禁止客户机(bridge方式)连接外网
- libvirt网络过滤规则简单总结
- VMware10中的Linux系统利用NAT网络连接方式访问外网配置
- 在ubuntu上vbox使用bridge方式连接网络
- VMware10中的Linux系统利用NAT网络连接方式访问外网配置
- 【转】VMware10中的Linux系统利用NAT网络连接方式访问外网配置
- VMware三种网络连接方式:bridge、NAT、Host-Only的区别
- VMware10中的Linux系统利用NAT网络连接方式访问外网配置
- 虚拟机网络连接方式 bridge hostonly nat
- VMware10中的Linux系统利用NAT网络连接方式访问外网配置
- libvirt网络过滤规则简单总结
- libvirt网络过滤规则简单总结
- VMware中的Linux系统利用NAT网络连接方式访问外网配置
- VMware12中的Linux系统利用NAT网络连接方式访问外网配置
- kvm初体验之五:vm连接网络的两种方式:bridge和nat
- VMware网络连接的几种方式Bridge NAT Host-only
- VMware运行Ubuntu 三种网络连接方式:bridge、NAT、Host-Only的区别详解
- 判断当前网络连接方式
- [黑莓开发之路][00][BlackBerry平台架构概述][07][网络连接及传输方式]
- 无NAT功能三层交换网络中利用远程与路由访问服务实现外网连接