什么是nwfilter
在公有云的环境中,经常需要对云主机的网络环境进行控制,实现对虚拟机网络流量的接收或者拒收。而nwfilter就可以实现这样的功能,目前已经被广泛地嵌套在KVM中,可以精准的实现以上的功能。
nwfilter目的是让管理员在host上控制vm的每块网卡。同一个nwfilter规则可以被不同vm重复使用,也可以为每个VM创建不同的filter规则。并且进入或者流出VM的流量无法避开nwfilter机制,因此这种限制就成为了强制性的,有点像linux中的iptables的功能。
nwfilter文件路径
默认存放在/etc/libvirt/nwfilter的文件夹中,一个xml文件代表一个设定的nwfilter规则,当你想指定一条nwfilter规则的时候,在这个目录中新增一个xml文件即可。
如何应用nwfilter
Nwfilter是需要配置在虚拟机的xml文件中生效的,通过过虚拟机的xml文件增加一个的参数,就可以实现对应的效果。
比如对“bridge1”这个虚拟机网桥,新增一个“drop80”的nwfilter的规则,这个规则的作用是将虚拟机的80端口进行封阻。那么,我们就可以这么做:
编写一个drop80.xml的nw文件
a1dadb35-3a7d-417d-8ca1-17d63036179b