nwfilter

功能介绍 Network filtering XML为虚拟化系统管理员提供对了一种网络流量的过滤规则，系统管理员可以通过配置过滤参数，实施和管理对虚拟机网络流量的接受和转发。由于过滤规则不能绕过直接进入虚拟机内，它使得一个filter对虚拟用户的访问控制具有强制性。官方wiki链接 Network filter Network filtering 子系统允许每一个虚拟机的网络过滤表可以被单独配置。我们可以在启动时配置虚拟机的访问控制过滤表，也可以在虚拟器运行时对虚拟机的规则进行修改。后者可以通过修改network filter XML的方式进行。 Libvirt 允许多台虚拟机共用一个。当filter被修改时，所有运行的虚拟机都会自动更新filter的过滤规则。 Network filtering XML部署在KVM Server上可以实现：虚拟网络隔离、入侵防护、批量管理等功能。Openstack的网络控制就是基于Networkl filter。 开始使用 Network filter 作用于个别网卡之中，它内定义在虚拟机的XML中，需要做哪些过滤就将过滤表的名字加到相应网卡的配置文件中。例如，我门对桥接到“br1”上的网卡做过滤，过滤表为“limit”，配置如下： <interface type='bridge'> <mac address='52:54:00:24:4c:ee