%EC%97%90%20%EB%8C%80%ED%95%9C%20IP%20%EC%A3%BC%EC%86%8C%20%EB%B2%94%EC%9C%84%EB%A5%BC%20%EC%B0%A8%EB%8B%A8%ED%95%98%EB%8A%94%20%EB%B0%A9%EB%B2%95.png)
다양한 IP 주소(가급적 가상 머신의 특정 Mac 주소)를 차단하는 방법이 약간 혼란스럽습니다.
<filter name='local-fileserver-only' chain='ipv4' priority='-700'>
<uuid>blank for now</uuid>
<rule action='drop' direction='inout' priority='500'>
<mac srcmacaddr='52:54:00:c9:88:0b'/>
<ip start='192.168.1.0' end'192.168.1.255/>
</rule>
<rule action='drop' direction='inout' priority='500'>
<mac dstmacaddr='52:54:00:c9:88:0b'/>
<ip start='192.168.1.0' end'192.168.1.255/>
</rule>
</filter>
nwfilter가 실현 가능한지 의심하기 시작했습니다.
답변1
~에 따르면문서start or, IPv4 규칙의 end` 속성은 지원 되지 않습니다 . 귀하의 옵션은 다음과 같습니다:
srcmacaddr
srcmacmask
dstmacaddr
dstmacmask
srcipaddr
srcipmask
dstipaddr
dstipmask
protocol
srcportstart
srcportend
dstportstart
dstportend
dscp
comment
192.168.1.0들어오고 나가는 트래픽을 해킹하려면 192.168.1.255네트워크를 대상으로 하십시오 192.168.1.0/24. 24비트 넷마스크 표현은 255.255.255.0다음을 제공합니다.
<filter name="block-192-168-1-0" chain="ipv4">
<rule action="drop" direction="in" >
<ip srcipaddr="192.168.1.0" srcipmask="255.255.255.0"/>
</rule>
<rule action="drop" direction="out" >
<ip dstipaddr="192.168.1.0" dstipmask="255.255.255.0"/>
</rule>
</filter>
다음을 사용하여 실행 중인 가상 머신에 적용하는 경우 virt-xml:
virt-xml --edit --update --network filterref.filter=block-192-168-1-0 my-test-vm
가상 머신은 더 이상 192.168.1.0/24 네트워크의 호스트에 액세스할 수 없습니다.