Предотвратите дюйм/с угона в KVM/libvirt
Как я могу препятствовать тому, чтобы пользователь/клиент VM получил доступ к IP-адресам, которыми он не владеет, но направляется по тому же мосту на KVM/Libvirt?
IP-адреса направляются к VLAN коммутатора Cisco, состоящему из/24 254 применимые адреса, например, 105.100.1.0/24.
Вот пример установки.
VM1 - 105.100.1.5
VM2 - 105.100.1.6
VM3 - 105.100.1.7
Как я могу препятствовать тому, чтобы VM1 получил доступ к адресам, которыми он не владеет?
Вы не можете использовать защиту порта коммутатора на Cisco, поскольку все виртуальные машины будут совместно использовать физический порт коммутатора. И вы не можете использовать Linux iptables , потому что трафик передается мостом, а не маршрутизируется через машину с гипервизором. Но вы можете эмулировать безопасность порта коммутатора на гипервизоре с помощью Linux ebtables , который является менее известным межсетевым экраном уровня 2/3 на мосту Linux. Быстрый и грязный пример (и, вероятно, неполный; я обычно не беспокоюсь об этом):
# First allow some obvious stuff; might need other things I forgot about
ebtables -A FORWARD -p IPv4 -m ip --ip-source 0.0.0.0 -j ACCEPT
ebtables -A FORWARD -p IPv6 -m ip6 --ip6-source :: -j ACCEPT
# Prevent a source MAC address from using a wrong source IP
ebtables -A FORWARD -p IPv4 -s 52:54:00:70:C1:99 -m ip --ip-source ! 192.0.2.5 -j DROP
ebtables -A FORWARD -p IPv4 -s 52:54:00:A3:09:3F -m ip --ip-source ! 192.0.2.6 -j DROP
ebtables -A FORWARD -p IPv4 -s 52:54:00:18:65:2A -m ip --ip-source ! 192.0.2.7 -j DROP