17.14.11.4. 预先存在的网络过滤器
以下是使用 libvirt 自动安装的示例网络过滤器:
协议名称 | 描述 |
---|---|
allow-arp | 可接受到客户机虚拟机的所有传入和出站地址解析协议(ARP)流量。 |
no-arp-spoofing ,no-arp-mac-spoofing , 和 no-arp-ip-spoofing | 这些过滤器可防止客户机虚拟机欺骗 ARP 流量。另外,它们仅允许 ARP 请求和回复消息,并强制这些数据包包含:
|
low-dhcp | 允许客户机虚拟机通过 DHCP 请求 IP 地址(来自任何 DHCP 服务器)。 |
low-dhcp-server | 允许客户机虚拟机从指定的 DHCP 服务器请求 IP 地址。DHCP 服务器的十进制 IP 地址必须在对此过滤器的引用中提供。变量的名称必须是 DHCPSERVER。 |
low-ipv4 | 接受虚拟机的所有传入和传出 IPv4 流量。 |
low-incoming-ipv4 | 仅接受虚拟机的传入 IPv4 流量。此过滤器是 clean-traffic 过滤器的一部分。 |
no-ip-spoofing | 防止客户机虚拟机发送源 IP 地址与数据包内不同的 IP 地址的 IP 数据包。此过滤器是 clean-traffic 过滤器的一部分。 |
no-ip-multicast | 防止客户机虚拟机发送 IP 多播数据包。 |
no-mac-broadcast | 防止将 IPv4 传出流量到指定的 MAC 地址。此过滤器是 clean-traffic 过滤器的一部分。 |
no-other-l2-traffic | 防止除由网络使用的其他过滤器指定的流量之外的所有第 2 层网络流量。此过滤器是 clean-traffic 过滤器的一部分。 |
no-other-rarp-traffic ,qemu-announce-self ,qemu-announce-self-rarp | 这些过滤器允许 QEMU 自助式地址解析协议(RARP)数据包,但阻止所有其他 RARP 流量。它们也包含在 clean-traffic 过滤器中。 |
clean-traffic | 防止 MAC、IP 和 ARP 欺骗。此过滤器将其他几个过滤器作为构建块引用。 |
这些过滤器只是构建块,需要与其他过滤器结合使用来提供有用的网络流量过滤。上方列表中最常用的一个是 clean-traffic 过滤器。例如,此过滤器本身可以与 no-ip-multicast 过滤器相结合,以防止虚拟机在数据包欺骗之上发送 IP 多播流量。