さまざまなIPアドレス(可能な仮想マシンの特定のMacアドレス)をブロックする方法は少し混乱します。
<filter name='local-fileserver-only' chain='ipv4' priority='-700'>
<uuid>blank for now</uuid>
<rule action='drop' direction='inout' priority='500'>
<mac srcmacaddr='52:54:00:c9:88:0b'/>
<ip start='192.168.1.0' end'192.168.1.255/>
</rule>
<rule action='drop' direction='inout' priority='500'>
<mac dstmacaddr='52:54:00:c9:88:0b'/>
<ip start='192.168.1.0' end'192.168.1.255/>
</rule>
</filter>
nwfilterが実現可能かどうか疑い始めました。
答え1
~によると文書start or
、IPv4ルールのend`属性はサポートされていません。あなたのオプションは次のとおりです。
srcmacaddr
srcmacmask
dstmacaddr
dstmacmask
srcipaddr
srcipmask
dstipaddr
dstipmask
protocol
srcportstart
srcportend
dstportstart
dstportend
dscp
comment
192.168.1.0
着信および発信トラフィックをハッキングするには、192.168.1.255
ネットワークをターゲットにしてください192.168.1.0/24
。 24ビットネットマスク表現は255.255.255.0
次のものを提供します。
<filter name="block-192-168-1-0" chain="ipv4">
<rule action="drop" direction="in" >
<ip srcipaddr="192.168.1.0" srcipmask="255.255.255.0"/>
</rule>
<rule action="drop" direction="out" >
<ip dstipaddr="192.168.1.0" dstipmask="255.255.255.0"/>
</rule>
</filter>
以下を使用して実行中の仮想マシンに適用する場合virt-xml
:
virt-xml --edit --update --network filterref.filter=block-192-168-1-0 my-test-vm
仮想マシンは192.168.1.0/24ネットワーク上のホストにアクセスできなくなりました。