基于network filter的 虚拟机访问控制

最新推荐文章于 2021-11-24 23:51:49 发布
最新推荐文章于 2021-11-24 23:51:49 发布
阅读量157 收藏
点赞数
文章标签: 运维 python 网络
原文链接:https://my.oschina.net/amoshuang/blog/89439
版权

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

功能介绍
Network filtering XML为虚拟化系统管理员提供对了一种网络流量的过滤规则,系统管理员可以通过配置过滤参数,实施和管理对虚拟机网络流量的接受和转发。由于过滤规则不能绕过直接进入虚拟机内,它使得一个filter对虚拟用户的访问控制具有强制性。官方wiki链接 Network filter
Network filtering 子系统允许每一个虚拟机的网络过滤表可以被单独配置。我们可以在启动时配置虚拟机的访问控制过滤表,也可以在虚拟器运行时对虚拟机的规则进行修改。后者可以通过修改network filter XML的方式进行。
Libvirt 允许多台虚拟机共用一个。当filter被修改时,所有运行的虚拟机都会自动更新filter的过滤规则。
Network filtering XML部署在KVM Server上可以实现:虚拟网络隔离、入侵防护、批量管理等功能。Openstack的网络控制就是基于Networkl filter。
开始使用

Network filter 作用于个别网卡之中,它内定义在虚拟机的XML中,需要做哪些过滤就将过滤表的名字加到相应网卡的配置文件中。例如,我门对桥接到“br1”上的网卡做过滤,过滤表为“limit”,配置如下: 

<interface type='bridge'>
    <mac address='52:54:00:24:4c:ee'/>
    <source bridge='br1'/>
    <model type='virtio'/>
    <filterref filter='limit'/>
</interface>


官方提供的资料指出,filter 支持的网络类型:network(NAT),bridge。

Network filters是通过XML完成参数的配置的,而且还可以和其他的filter搭配组合使用;当做模块调用被其他filter调用。之后会做具体介绍。
KVM Server本身自带了许多filter,我们可以像操作虚拟机一样,对filter进行使用。
查看当前系统中的Filters:
[root@admin ~]# virsh nwfilter-list
UUID                                  Name                 
----------------------------------------------------------------
f982fac6-52ea-6652-36cb-75a680cb0713  allow-arp           
fb376146-7a1c-80f7-2c28-24188ffe6bf1  allow-dhcp          
c4c39d04-5c85-e79f-dbb1-e233d849dae4  allow-dhcp-server   
d9946a8b-f6e4-a643-9be7-4d429963097f  allow-incoming-ipv4 
f46e4705-2eb3-fd53-cc1c-9863bc39a334  allow-ipv4          
93dce802-0ae4-2339-aa50-16a0bb134e17  clean-traffic       
1c3384c7-093a-5689-2cf3-320ef716ba2e   limit 
  ...
注:其中只有limit为自己定义的,其他为KVM Server自动定制生成的
查看具体的某一条Filters:

[root@admin ~]# virsh nwfilter-dumpxml limit 

<filter name='limit' chain='root'>
    <uuid>1c3384c7-093a-5689-2cf3-320ef716ba2e</uuid>
    <rule action='accept' direction='inout' priority='400'>
        <icmp connlimit-above='2'/>
    </rule>
    <rule action='accept' direction='inout' priority='500'>
        <tcp/>
    </rule>
    <filterref filter='clean-traffic'/>
    <rule action='drop' direction='inout' priority='1000'>
        <all/>
    </rule>
</filter>


也可以像修改虚拟机配置信息一样对filter 进行edit、define、undefine。

对于Filtering 的配置,我们以之前提到的limit过滤表做例子,来分析Filter的书写和参数的简单实用。 

<filter name='limit' chain='root'>


第一个字段定义filter的name,唯一。(官方建议:许多filter的名字是以chains的名字做前缀的。)

Chain类型:
所有过滤规则都被组织到一个过滤链中,这些过滤链是具有树结构和包过滤规则的记录的合集。一个数据包经过这些过滤链,被选择进入虚拟机或是被DROP。每条链都有不同的优先级,不过root链的优先级最高,所有的数据包必须先要经过root链后,才可能继续到其他过滤过则中匹配。
目前已经存在的链:
•        root
•        mac  (since 0.9.8)
•        stp (spanning tree protocol)  (since 0.9.8)
•        vlan (802.1Q)  (since 0.9.8)
•        arp, rarp
•        ipv4
•        ipv6
priority优先级的设定:所有的链都被连接到root链中。目的为了让链的访问顺序可以被优先级影响。下边是官方提供的默认优先级:
Chain (prefix)        Default priority
            stp        -810
          mac        -800
           vlan        -750
           ipv4        -700
           ipv6        -600
            arp        -500
          rarp        -400
优先级的值越小,优先级别越高。用户可以定义自己的优先级数值,取值范围在[-1000,1000]。

  <uuid>1c3384c7-093a-5689-2cf3-320ef716ba2e</uuid>

Filter的编号,系统自动添加,唯一。 

<rule action='accept' direction='inout' priority='500'>
    <tcp/>
</rule>


规则实例分析。
与iptables相同,在rule中也指定了匹配动作、数据包方向、优先级以及匹配过则。
以上边rule为例,
                action:匹配后的动作,可选动作:accept、drop、reject
                Direction:数据包走向,可选方向:in、out、inout
                Priority:优先级,指定了在一条链中的不规则的匹配顺序。数值越小,优先级越高。
第二行为匹配的规则,可以指定协议类型,IP地址,或其他。

以上规则的意思是:所有tcp协议的数据包通过。 

<filterref filter='clean-traffic'/>


引入clean-traffic的控制规则 

<rule action='drop' direction='inout' priority='1000'>
    <all/>
</rule>


最后一条的优先级为1000,优先级最低,作为所有匹配不到的数据包的默认规则。

进阶配置

对于已经运行的虚拟机,我们可以通过在线修改filter的配置来调整虚拟机的访问控制。但前提是,虚拟机的xml配置文件已经指定网卡的匹配过滤表。 

[root@admin ~]# virsh nwfilter-edit limit


进入到一个vi衍生的编辑器中,修改limit的xml文件,在保存时,系统会自动校验修改后的文件是否准确,如果出现错误将不会修改xml文件。
1        连接追踪(connection tracking)
网路过滤系统是使用iptables的连接追踪支持的。它可以强制的指定网络数据流的方向,也可以统计链接数并限制进入虚拟机的并发连接数。

编辑一个限制端口25号的filter: 

cat > limit <<EOF
<filter name='limit' chain='root'>
  <rule action='drop' direction='out' priority='500'>
    <tcp dstportstart='25' dstportend='25'/>
  </rule>
</filter>
EOF
virsh nwfilter-define limit              #定义limit  过滤表
virsh nwfilter-list                         #查看所有的filter


2        连接数限制(Limiting Number of Connections)

假设一个虚拟机只允许一个IP在同一之间发起一个ping链接。防止某个IP对虚拟机恶意攻击。 

<rule action='drop' direction='out' priority='400'>
    <icmp connlimit-above='1'/>
</rule>
<rule action='accept' direction='out' priority='500'>
    <icmp/>
</rule>
<rule action='drop' direction='inout' priority='1000'>
    <all/>
</rule>


注释:这个规则的“限制”在逻辑上必须出现在“允许”前,即相同的匹配类型,drop的优先级要高于accetp!
3        使用DHCP服务

在virsh nwfilter-list 的列表中,有一个filter:allow-dhcp-server 

[root@admin ~]# virsh nwfilter-dumpxml allow-dhcp-server
<filter name='allow-dhcp-server' chain='ipv4' priority='-700'>
  <uuid>c4c39d04-5c85-e79f-dbb1-e233d849dae4</uuid>
  <rule action='accept' direction='out' priority='100'>
    <ip srcipaddr='0.0.0.0' dstipaddr='255.255.255.255' protocol='udp' srcportstart='68' dstportstart='67'/>
  </rule>
  <rule action='accept' direction='in' priority='100'>
    <ip srcipaddr='$DHCPSERVER' protocol='udp' srcportstart='67' dstportstart='68'/>
  </rule>
</filter>


我们可以在VMs的xml中直接使用这个filter,也可以定制VM自己的filter,然后调用allow-dhcp-server。
(1)        直接使用

与之前提到的一样,在VM的xml中加入filter就可以。 

<interface type='bridge'>
    <mac address='52:54:00:24:4c:ee'/>
    <source bridge='br1'/>
    <model type='virtio'/>
    <filterref filter='allow-dhcp-server'>
        <parameter name="IP" value="192.168.0.100" />
        <parameter name="DHCPSERVER" value="192.168.0.1" />
    </filterref>
</interface>


在配置文件中指定DHCP-SERVER及请求分配的IP地址。
(2)        定义VM私有的filter

假设我们的虚拟机的name为vm000001,在vm00001的xml中网卡配置部分添加如下代码 

<interface type='bridge'>
      <mac address='52:54:00:24:4c:ee'/>
      <source bridge='br1'/>
      <model type='virtio'/>
      <filterref filter='vm000001'/>
</interface>

创建vm000001的filter 

cat > vm000001 <<EOF
<filter name='vm000001' chain='root'>
  <filterref filter='allow-dhcp-server'>
    <parameter name="IP" value="192.168.0.100" />
    <parameter name="DHCPSERVER" value="192.168.0.1" />
  </filterref>
</filter>
EOF
virsh nwfinter-define vm000001
virsh nwfinter-dumpxml vm000001

推荐后一种,因为更加灵活,可以在虚拟机启动时更改filter的各种参数与访问控制。

转载于:https://my.oschina.net/amoshuang/blog/89439

weixin_33755847
关注
Apache虚拟机访问控制
xy_1212的博客
03-16 1325
Apache配置与应用Apache 配置与应用基于域名的虚拟主机基于IP地址的虚拟主机基于端口的虚拟主机 Apache 配置与应用 --------构建虚拟web主机-------- 虚拟web主机指的是在同一台服务器中运行多个web站点,其中每一个站点实际上并不独立占用整个服务器,因此被称为"虚拟"web主机。通过虚拟web 主机服务可以充分利用服务器的硬件资源,从而大大降低网站构建及运行成本。 使用httpd服务可以非常方便地构建虚拟主机服务器,只需要运行一个httpd服务就能够同时支撑大量的Web站点
基于network filter虚拟机访问控制
RJ0024的博客
06-21 275
什么是nwfilter 在公有云的环境中,经常需要对云主机的网络环境进行控制,实现对虚拟机网络流量的接收或者拒收。而nwfilter就可以实现这样的功能,目前已经被广泛地嵌套在KVM中,可以精准的实现以上的功能。 nwfilter目的是让管理员在host上控制vm的每块网卡。同一个nwfilter规则可以被不同vm重复使用,也可以为每个VM创建不同的filter规则。并且进入或者流出VM的流量无法...
使用libvirt的networkfilter网络进行过滤
Flytiger
06-13 3657
功能简介> Network filtering XML为虚拟化系统管理员提供对了一种网络流量的过滤规则,系统管理员可以通过配置过滤参数,实施和管理对虚拟机网络流量的接受和转发。由于过滤规则不能绕过直接进入虚拟机内,它使得一个filter对虚拟用户的访问控制具有强制性。 Network filtering子系统允许每一个虚拟机网络过滤表可以被单独配置。我们可以在启动时配置虚拟机访问控制过滤表,也可
libvirt网络过滤规则:禁止客户机(bridge方式)连接外网
酒醉东坡的专栏
03-30 2631
当使客户机禁止使用外网的时候: virsh nwfilter-define drop.xml drop.xml内容: <filter name='no-ip-inout' chain='ipv4'> <uuid>fce8ae34-e69e-83bf-262e-30786c1f8072</uuid> <rule action='accept' direction='out' priority='100'> <ip srcipaddr='192.168.x.0' dstipadd
[轉]Virtual PC 网络设置(Networking)
weixin_33850890的博客
04-16 393
VPC中如果启用网络则有三种可选的网络模式,每种网络的特点如下: 1.本地模式: 在宿主机(非虚拟机)上运行的所有虚拟机可以相互访问.宿主机和虚拟机无法访问. 2.共享网络模式(NAT): 只要在虚拟机上启用了NAT模式,这台虚拟机就可以访问外网.也可以在这台虚拟机上添加和宿主机一样的默认网关和DNS. 使用NAT通常要在这台虚拟机上开两个网卡.第一个用于NAT.另一个用于内网连接,...
重启服务器后vm虚拟机不可访问,vmware虚拟机的tomcat启动以后,主机无法访问
weixin_39982452的博客
08-06 958
处理:关闭防火墙服务:/etc/init.d/iptables stop、、、、、、、、、、、、、、、、、、、、、在wmware中安装linux后安装好数据库,JDK及tomcat后启动服务,虚拟机中可以访问,但是主机却无法访问,但是同时主机和虚拟机之间可以ping的通。netstat-nupl(UDP类型的端口)netstat-ntpl(TCP类型的端口)网上查阅资料后第一种解决方法...
基于虚拟机环境的计算机网络安全访问控制系统的实验(1)
abysshal的专栏
01-04 4100
一、实验环境 本实验的拓扑结构如下图所示,本实验存在以下系统: 实验环境由一台主机(Main Host)和两个基于虚拟机技术实现的虚拟子网组成,主机安装Linux操作系统,利用其iptables功能实现防火墙。通过虚拟机技术,主机同时充当两个内网的交换机。路由器由一台Nercore的无线路由器实现。DMZ区的服务器均安装Linux系统,内网主机A、B均安装Windows操作系统。具体配置
VLAN 虚拟局域网/ACL 访问控制列表
weixin_50727364的博客
11-23 774
VLAN:虚拟局域网 交换机和路由器协作工作后,将一个广播域逻辑的切分为多个 配置思路: 在交换机上创建VLAN 在交换机上的接口划分到对应VLAN中 Trunk干道(贴标签) sw-sw sw-router VLAN间路由—路由器子接口(单臂路由) 多层交换机 配置命令: 交换机上创建VLAN VLAN编号:0-4095 其中1-4094可用; 默认存在VLAN1,且默认交换机上所有的物理接口属于VLAN1 [Huawei]vlan 2 #创建单个VLAN [Huawei-vlan2]desc
PuTTY无法远程连接(控制)虚拟机操作系统(CentOS)
HaliLua的博客
12-14 9549
做技术免不了乱折腾,但是在生产环境服务器里乱搞非常危险,于是安装了一个虚拟CentOS系统。 安装完成后发现无法使用puTTY(window系统的一个SSH远程连接工具)远程控制。 一、检查虚拟机网络连接方式是否为桥接,如果不是,修改为桥接 二、检查CentOS系统是否禁止了默认的22端口(防火墙),若为禁止状态,开启 最终防火墙配置如下: ##
fedora21虚拟机virtualBox迁移XP不能上网
IT果园
01-16 783
fedora21,通过yum安装了VirturlBox虚拟机, 从旧机器了复制了XP的虚拟机安装包,浏览器不能上网,报告 Gateway GEO-IP Filter Alert错误,原来是IE启用代理,而且那个代理已经不可用了。
C#获取本机IP且过滤非真实网卡(如虚拟机网卡)
飞龙在天
05-12 4799
参考了网上的文章,具体地址不记得了。 下面的方法可以过滤掉虚拟机的网卡等无效网卡,进而只留下真实的网卡。 下面的代码有些问题,如果用户修改了虚拟机网络名称,判断就会出错,所以判断的名字不是很合适,应该用description判断 [csharp] view plain copy using System;  using System.Collections.G
使用NetworkInterface类获得网络接口信息
食種之食物
01-27 1万+
从JDK1.4开始,Java提供了一个NetworkInterface类。这个类可以得到本机所有的物理网络接口和虚拟机等软件利用本机的物理网络接口创建的逻辑网络接口的信息。 一、创建NetworkInterface对象的两个静态方法 NetworkInerface类和InetAddress一样,也没有public的构造方法。因此,必须通过它的两个静态方法来创建NetworkInterf
计算机基础——网卡(网络适配器network adaptor)
sparksun007的专栏
02-10 2471
网卡是工作在链路层的网络组件,是局域网中连接计算机和传输介质的接口,不仅能实现与局域网传输介质之间的物理连接和电信号匹配,还涉及帧的发送与接收、帧的封装与拆封、介质访问控制、数据的编码与解码以及数据缓存的功能等。 计算机与外界局域网的连接是通过主机箱内插入一块网络接口板(或者是在笔记本电脑中插入一块PCMCIA卡)。网络接口板又称为通信适配器或网络适配器(network adapter)
NodeJS os模块networkInterfaces()获取网卡参数乱码解决方法
流浪的喵的博客
11-11 7797
前几天,用到NodeJS获取本地网络信息,所有的都指向os模块的networkInterfaces()函数,但是获取的网卡是乱码的,如下 愁到我了,好几天没解决,后来打算放弃了,听了各种方法,什么buffer啊,iconv啊,cmd转码啊但是都没解决 后来我就找到了一片文章,让用中文包,用了但是还是没用,快放弃的时候,灵机一动换了一个方法,就可以了 如下原来: var os = r
弱网测试—Network-Emulator-Toolkit(一)
no1mwb的专栏
12-14 6万+
弱网测试,属于健壮性测试;怎么样去做弱网测试呢? 一、安装弱网测试工具-Network-Emulator-Toolkit        推荐一个工具:Network-Emulator-Toolkit,这个工具的作用主要是设置丢包率和延时;        1.安装与卸载           下载地址:https://blog.mrpol.nl/2010/01/14/network-emula
(四)Gateway开发教程之自定义网关过滤器
Ijiran的博客
11-24 398
theme: vue-pro 这是我参与11月更文挑战的第23天,活动详情查看:2021最后一次更文挑战 前情回顾 上篇文章,我们讲到了Gateway中的路由如何配置,及如何去细致的匹配相应的访问链接等知识点,这些就足以让我们入门Gateway的开发了。 但是,需求是不断迭代的,所以要使用更多Gateway中提供的一些特性功能等,今天就和大家聊一下Gateway提供的网关过滤器。 G...
Windows远程桌面实现物理机访问控制虚拟机1-连接方法
罗思洋的博客
01-09 1万+
1、任务简介 上周末的团队会议中,老师要求我们学会使用Windows远程桌面实现物理机访问控制虚拟机,该任务我在老师布置的前期任务中已经接触过,但是当时我的物理机是Win8系统,并且完成时间较早,故许多细节已经遗忘了,所以现在我使用Win10系统的物理机重新对该任务进行操作,进而加深自己的认识和理解。 2、前期准备 1)我的迅即系统为Win7,关于虚拟机软件VMware及Win7系统的安装可以参...
Gateway网关---Filter过滤器
热门推荐
诗水人间
07-01 10万+
官网关于过滤器的文档地址https://cloud.spring.io/spring-cloud-gateway/2.2.x/reference/html/#gatewayfilter-factories 过滤请求头包含参数 X-Request-red 并且值是blue的 spring: cloud: gateway: routes: - id: add_request_header_route uri: https://example.org
利用network filter限制虚拟机上外网实例
dns007
02-16 2642
Network filtering XML为虚拟化系统管理员提供对了一种网络流量的过滤规则,系统管理员可以通过配置过滤参数,实施和管理对虚拟机网络流量的接受和转发。由于过滤规则不能绕过直接进入虚拟机内,它使得一个filter对虚拟用户的访问控制具有强制性。官方wiki链接Network filter Network filtering 子系统允许每一个虚拟机网络过滤表可以被单独配置。我们可
VMware虚拟机局域网访问及端口转发配置
本资源主要探讨了如何在VMware Workstation中通过NAT和Bridge模式来实现局域网访问虚拟机中的服务,并确保虚拟机能够连接到外网。 首先,我们来看标题提到的"解决方案-ga 24.9-2005 机动车登记信息代码 第9部分 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值