一、简介
nwfilter全称network filtering,此部分代码由IBM贡献,其目的在于可让系统管理员在host上通过一套抽象的标准化的配置方式实现对vm的网络数据包的过滤,可以准确的控制到每个vm的每块网卡上。同一个filter规则可以被不同的vm重复使用,当然也可以为每一个vm创建不同的filter规则。
当nwfilter规则配置好之后,启动vm的时候libvirt会自动将配置规则转换为对应的iptables或者ebtables规则,加载到vm对应的网卡tap设备上。
nwfilter规则配置文件和libvirt其他资源配置一样使用xml格式,libvirt源码中有IBM的同学贡献出了一小部分默认的策略,可以在examples/xml/nwfilter/目录中找到这些配置文件,可以看一个示例:
# cat examples/xml/nwfilter/no-mac-spoofing.xml
<filter name='no-mac-spoofing' chain='mac' priority='-800'>
<!-- return packets with VM's MAC address as source address -->
<rule direction='out' action='return'>
<mac srcmacaddr='$MAC'/>
</rule>
<!-- drop everything else -->
<rule direction='out' action='drop'>
<mac/>
</rule>
</filter>
把规则应用到vm对应的网卡上需要在vm的xml中网卡部分定义,如:
<devices>
<interface type='bridge'>
<mac address='00:16:3e:5d:c7:9e'/>
<filterref filter='clean-traffic'/>
</interface>
</devices>
二、什么是规则链
nwfilter支持的网络类型有network和bridge,其他类型需要自己尝试;xml配置文件之间可相互引用,也可直接插入具体的规则;
不同的规则组织成链,链可被看做由规则提供的入口组成的树形结构,其中入口的最顶部为root,一切从root链开始,在xml中表示为如下:
<filter name='clean-traffic' chain='root'>
自定义链可以直接嵌入root链或者嵌入不同协议的链,不同协议的链必须以协议名字开头,后缀可以自定义,建议使用自定义的后缀以方便链的组织和管理;支持的协议链类型如下:
root
stp
mac
vlan
ipv4
ipv6
arp
rarp
链名前缀以协议开头,xml示例如:
<filter name='' chain='arp' priority=''>
<uuid></uuid>
<rule action='' direction='' priority=''>
<mac match='' srcmacaddr=''/>
</rule>
<rule action='' direction='' priority=''>
<arp match='' arpsrcmacaddr=''/>
</rule>
</filter>
不同的链具有不同的优先级,当然优先级也是可以通过xml配置来更改的,默认的推荐的优先级如下:
stp -810
mac -800
vlan -750
ipv4 -700
ipv6 -600
arp -500
rarp -400
值越小优先级越高,范围可从 -1000 到 1000,我在思考会不会某天这个范围不够用?
三、规则中的变量
每个链的xml中定义不同的规则,规则都可以使用nwfilter统一提供的变量,其中最常用的两个变量: MAC 和 IP
可以指定规则匹配到具体的mac地址和ip地址,同一规则中IP可以多个,指定方式如下:
<devices>
<interface type='bridge'>
<mac address='00:16:3e:5d:c7:9e'/>
<filterref filter='clean-traffic'>
<parameter name='IP' value='10.0.0.1'/>
<parameter name='IP' value='10.0.0.2'/>
</filterref>
</interface>
</devices>
注意如果不指定IP的话有可能libvirt会启用自动识别ip的功能,通过例如libpcap库或者dhcp等途径自动识别vm的ip地址,但是这里建议能够指定明确的尽量指定明确,多一项功能多一点开销;也可以明确的告诉nwfilter不要开启自动识别功能:
<filterref filter='clean-traffic'>
<parameter name='CTRL_IP_LEARNING' value='none'/>
</filterref>
value还可以接收的值有any, dhcp, or none;
四、规则的匹配和处理
规则中指定匹配到相关的数据包后的动作使用关键字action来指定,每条规则中action是必须的,可以有的动作如下:
drop 丢弃数据包
reject 返回 ICMP包并拒绝
accept 允许
return 返回规则链上级继续下一项检查
continue 直接继续下一条规则的检查
一条规则还应该包含匹配的数据包的走向是入还是出,关键字direction,这个也是必须的:
in 进入
out 流出
inout 进和出
注意这里的in或out是相对vm而言的:in--package go into vm,out--package go out from vm :-)
规则还可以指定优先级,关键字priority,这个是可选的,如果不指定的话默认是500:
priority 可选 -1000---1000 默认500
,优先级值越小生成iptables/ebtabls的顺序就越靠前,越靠前的就等级越高,实现相同的功能可以有不同的写法,但是不同的写法配合不同的优先级其效率是不一样的,这个得自己琢磨;
规则中还可以定义匹配的state是匹配还是不匹配,例如--ip-proto udp 或 --ip-proto ! udp,关键字match,为可选项:
statematch 可选 0 或者false 默认true
五、规则支持的全部协议类型:
支持的协议有下面这一大堆:
mac vlan stp arp rarp ip ipv6 tcp udp sctp icmp igmp esp ah udplite all
tcp-ipv6 udp-ipv6 sctp-ipv6 icmpv6 igmp-ipv6 esp-ipv6 ah-ipv6 udplite-ipv6 all-ipv6
其中经由ebtables处理的协议有:
mac stp vlan arp rarp ipv4 ipv6
其他全部依赖使用iptables/ ip6tables,因ebtables可工作在链路层,iptables可工作在网络层(不限于此),而越底层处理就越直接,(这也能看出为什么默认的优先级需要那样设定)所以这里应尽量优先使用ebtables来搞定数据包的过滤,且bridge模式下的vm默认是不推荐使其数据包经由iptables的,具体原因可查redhat bugzilla编号512206。
六、默认规则的分析:
IBM的同学贡献了一些默认的规则,其中大部分规则组织到一起形成了一个名为clean-traffic的规则,为大家提供的学习的模板。事实上在生产环境中这个clean-traffic也是可以直接使用的,其主要作用是禁止了vm对外发送mac欺骗 arp欺骗以及ip地址欺骗,下面是对clean-traffic的包检测策略分析:
1.vm对外发送的数据包mac是vm本机mac则继续下一步检查,否则全部丢弃;到这一步就禁止了mac伪造;
2.vm对外发送的数据包源地址是0.0.0.0的所有udp直接进入下一步检查;这里等于开放了dhcp请求;
3.vm对外发送的数据包ip是vm本机ip则继续下一步检查,否则全部丢弃;到这一步就I禁止了ip伪造;
4.允许所有对外发送的ipv4数据包;
5.对外发送的arp mac地址是本机mac则继续下一步检查,其他全部丢弃;这里禁止了伪造mac的arp;
6.对挖发送的arp ip地址是本机ip则继续下一步检查,其他全部丢弃;这里禁止了伪造ip的arp;
7.允许所有对外发送的arp数据包;
8.允许对外发送mac为本机mac的rarp,丢弃其他所有数据包,这里就禁止了其他l2层的数据包。
在clean-traffic基础上可以做很多其他的自定义数据包过滤,例如从第3步到第4步之间,就可以干很多事情,因为第4部是允许了所有vm对外的数据包,这当然也就允许了例如vm对外发送udp攻击等等,那么在第4步之前我们就可以引入一些比如禁止udp攻击,封禁tcp端口的事情;
还有一点是clean-traffic默认只是拒绝了vm对外发送的部分数据包,外面对vm发送的数据包默认是全部允许的,也就是说我们还可以做一些禁止外网发送至vm的攻击数据包。
如果是使用到iptables部分的规则的话还可以限制数据包的速率等等,更多丰富的玩法还需要继续研究了。
2149
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
