libirtのnwfilterを使用して特定のmac(VM)のIPアドレス範囲をブロックする方法

libirtのnwfilterを使用して特定のmac(VM)のIPアドレス範囲をブロックする方法

さまざまなIPアドレス(可能な仮想マシンの特定のMacアドレス)をブロックする方法は少し混乱します。

<filter name='local-fileserver-only' chain='ipv4' priority='-700'>
<uuid>blank for now</uuid>
<rule action='drop' direction='inout' priority='500'>
 <mac srcmacaddr='52:54:00:c9:88:0b'/>
<ip start='192.168.1.0' end'192.168.1.255/>
</rule>
<rule action='drop' direction='inout' priority='500'>
 <mac dstmacaddr='52:54:00:c9:88:0b'/>
<ip start='192.168.1.0' end'192.168.1.255/>
</rule>
</filter>

nwfilterが実現可能かどうか疑い始めました。

答え1

~によると文書start or、IPv4ルールのend`属性はサポートされていません。あなたのオプションは次のとおりです。

srcmacaddr
srcmacmask
dstmacaddr
dstmacmask
srcipaddr
srcipmask
dstipaddr
dstipmask
protocol
srcportstart
srcportend
dstportstart
dstportend
dscp
comment

192.168.1.0着信および発信トラフィックをハッキングするには、192.168.1.255ネットワークをターゲットにしてください192.168.1.0/24。 24ビットネットマスク表現は255.255.255.0次のものを提供します。

<filter name="block-192-168-1-0" chain="ipv4">
  <rule action="drop" direction="in" >
    <ip srcipaddr="192.168.1.0" srcipmask="255.255.255.0"/>
  </rule>
  <rule action="drop" direction="out" >
    <ip dstipaddr="192.168.1.0" dstipmask="255.255.255.0"/>
  </rule>
</filter>

以下を使用して実行中の仮想マシンに適用する場合virt-xml

virt-xml --edit --update --network filterref.filter=block-192-168-1-0 my-test-vm

仮想マシンは192.168.1.0/24ネットワーク上のホストにアクセスできなくなりました。

関連情報