Как запретить/фильтровать соединения vm в одном vlan через мост ovs?

Question

[Bermut]

Гипервизор, на нем ovs bridge, и ответная часть интерфейса vm - в мосту, с vlan тегом, все работает, но если в том же vlan есть вторая vm, они имеют между собой нефильтруемое L2 соединение, а, так как это тестовый сегмент vm с доступом в интернет, и доступностью через интернет, хотелось бы по максимум закрыть от них доступность локальной сети,за ovs мостом стоит коммутатор, который фильтрует все локальные соединения. Вопрос, возможно ли запретить ovs гонять трафик трафик между интерфейсами в одном vlan, и, если нет, возможно ли их фильтровать? Переезд на linux мост не желателен. Ранее раскидывал все vm по разным тегам, и уже на стороне обьединял через linux мост с iptables фильтром, но хотелось бы избавиться от этого.

Comments

[SunTechnik]

Вроде OVS поддерживает ACL.
Можно в эту сторону посмотреть...

Answer 1

[Bermut]

Да, ovs умеет в acl, называются они в нем flow, пример у меня получился такой:

ovs-ofctl add-flow ovs-br "cookie=0x00, table=0, in_port=eth0, action=normal"
ovs-ofctl add-flow ovs-br "cookie=0x01, table=0, in_port=ovs-br, action=normal"

ovs-ofctl add-flow ovs-br "cookie=0x08, table=0, icmp6, ipv6_src=fe80::/64, ipv6_dst=ff02::/96, action=normal"
ovs-ofctl add-flow ovs-br "cookie=0x09, table=0, arp, action=normal"

ovs-ofctl add-flow ovs-br "cookie=0x10, table=0, ip, nw_src=<ipv4 subnet>, nw_dst=<ipv4 subnet>, actions=drop"
ovs-ofctl add-flow ovs-br "cookie=0x11, table=0, ip, nw_src=<ipv4 subnet>, actions=normal"

ovs-ofctl add-flow ovs-br "cookie=0x12, table=0, ipv6, ipv6_src=<ipv6 subnet>, ipv6_dst=<ipv6 subnet>, action=drop"
ovs-ofctl add-flow ovs-br "cookie=0x13, table=0, ipv6_src=<ipv6 subnet>, ipv6, action=normal"