18.12.11.4. 预先存在的网络过滤器
以下是使用 libvirt 自动安装的网络过滤器示例列表:
命令名称 | 描述 |
---|---|
no-arp-spoofing | 防止客户机虚拟机欺骗 ARP 流量;此过滤器仅允许 ARP 请求和回复消息,并强制这些数据包包含客户机虚拟机的 MAC 和 IP 地址。 |
allow-dhcp | 允许客户机虚拟机通过 DHCP 请求 IP 地址(来自任何 DHCP 服务器) |
allow-dhcp-server | 允许 guest 虚拟机从指定的 DHCP 服务器请求 IP 地址。DHCP 服务器的点十进制 IP 地址必须在引用此过滤器时提供。变量名称必须是 DHCPSERVER。 |
no-ip-spoofing | 防止客户机虚拟机使用不同于数据包中的源 IP 地址发送 IP 数据包。 |
no-ip-multicast | 防止客户机虚拟机发送 IP 多播数据包。 |
clean-traffic | 防止 MAC、IP 和 ARP 欺骗。此过滤器引用其他几个过滤器作为构建块。 |
这些过滤器只是构建块,需要与其他过滤器结合使用来提供有用的网络流量过滤。以上列表中最常用的是 clean-traffic 过滤器。例如,此过滤器本身可以与 no-ip-multicast 过滤器结合使用,以防止虚拟机在阻止数据包欺骗之上发送 IP 多播流量。