Задать вопрос
Bermut
@Bermut
Жертва домашней лаборатории

Как запретить/фильтровать соединения vm в одном vlan через мост ovs?

Гипервизор, на нем ovs bridge, и ответная часть интерфейса vm - в мосту, с vlan тегом, все работает, но если в том же vlan есть вторая vm, они имеют между собой нефильтруемое L2 соединение, а, так как это тестовый сегмент vm с доступом в интернет, и доступностью через интернет, хотелось бы по максимум закрыть от них доступность локальной сети,за ovs мостом стоит коммутатор, который фильтрует все локальные соединения. Вопрос, возможно ли запретить ovs гонять трафик трафик между интерфейсами в одном vlan, и, если нет, возможно ли их фильтровать? Переезд на linux мост не желателен. Ранее раскидывал все vm по разным тегам, и уже на стороне обьединял через linux мост с iptables фильтром, но хотелось бы избавиться от этого.
  • Вопрос задан
  • 132 просмотра
Подписаться 2 Сложный 1 комментарий
Решения вопроса 1
Bermut
@Bermut Автор вопроса
Жертва домашней лаборатории
Да, ovs умеет в acl, называются они в нем flow, пример у меня получился такой:

ovs-ofctl add-flow ovs-br "cookie=0x00, table=0, in_port=eth0, action=normal"
ovs-ofctl add-flow ovs-br "cookie=0x01, table=0, in_port=ovs-br, action=normal"

ovs-ofctl add-flow ovs-br "cookie=0x08, table=0, icmp6, ipv6_src=fe80::/64, ipv6_dst=ff02::/96, action=normal"
ovs-ofctl add-flow ovs-br "cookie=0x09, table=0, arp, action=normal"

ovs-ofctl add-flow ovs-br "cookie=0x10, table=0, ip, nw_src=<ipv4 subnet>, nw_dst=<ipv4 subnet>, actions=drop"
ovs-ofctl add-flow ovs-br "cookie=0x11, table=0, ip, nw_src=<ipv4 subnet>, actions=normal"

ovs-ofctl add-flow ovs-br "cookie=0x12, table=0, ipv6, ipv6_src=<ipv6 subnet>, ipv6_dst=<ipv6 subnet>, action=drop"
ovs-ofctl add-flow ovs-br "cookie=0x13, table=0, ipv6_src=<ipv6 subnet>, ipv6, action=normal"
Ответ написан
Комментировать
Пригласить эксперта
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы