libvirt | virsh nwfilter | фильтрация сети гостевых сред

Всем привет. Сегодня расскажу как можно реализовать ограничение хождения трафика на уровне гоствых сред, для лучшего усваивания, рекомендую вам ознакомиться на оф. сайте разработчика: https://libvirt.org/formatnwfilter.html
Мы же возьмём простой пример, ограничем ходление трафика одной виртуалке, а второй разрешим: Определим правла, на основании xml файла ( не позволяет добавлять скобки ): filter name='network-rules' chain='root' filterref filter='ipv4-allow'/ /filter filter name='ipv4-allow' chain='ipv4-allow' priority='-700' rule action='accept' direction='inout' priority='100' ip srcipaddr='$REMOTEIP[@1]' srcipmask='$REMOTECDR[@1]'/ /rule rule action='drop' direction='in' priority='50' ip dstipaddr='$LOCALIP'/ /rule rule action='drop' direction='out' priority='50' ip srcipaddr='$LOCALIP'/ /rule rule action='return' direction='inout' priority='1000'/ /filter После чего напишем команду: virsh nwfilter-define ipv4-allow.xml virsh nwfilter-define network-rules.xml И добавим значения гастевой среде: filterref filter='network-rules' parameter name='LOCALIP' value='192.168.122.9'/ parameter name='REMOTECDR' value='24'/ parameter name='REMOTEIP' value='192.168.122.10'/ /filterref /interface После чего у вас на одной машине доступ будет разрешен, а на втрой нет. Удачи в обучении!