KVM学习（十五）网络过滤Network filtering

网络过滤是一种网络流量的过滤规则，通过以太网网桥的防火墙管理对虚拟机网络流量的接受和转发，由于虚拟机不能控制过滤规则，所以对虚拟机的访问控制具有强制性。
网络过滤可以通过XML文件存储配置，libvirt动态调整ebtable配置，既可以针对特定虚拟机进行配置，也可以多个虚拟机共享配置。

virsh nwfilter-list

这些是安装libvirt后默认安装的一些规则

看下这个叫clean-traffic的配置
chain就像树一样，root是根节点，<filterref filter / >是root的左右分支，<rule / >是定义的规则，优先级[-1000,1000]，越低优先级越高。
从上往下过滤，首先到达no-mac-spoofing，不允许伪造MAC地址，然后不允许伪造ip地址，然后经过<rule / >,然后有进入分支允许ipv4…

当把这个规则应用到虚拟机上，即使是虚拟机的管理员也会强制应用到这些规则上。

用win2k3实验一下：
打开虚拟机win2k3

ebtables -t nat -L

可以看到0规则

virsh dumpxml win2k3

找到网卡这部分的配置，复制下来

新建一个nftest.xml
加一行filter

然后更新虚拟机配置

virsh update-device win2k3 /nftest.xml

ebtables -t nat -L

可以看到规则都起来了

关闭win2k3后又000了

重启win2k3，发现没有那个规则了，说明update-device并不是永久性的更新
永久更新要加persistent

virsh update-device win2k3 /nftest.xml --persistent