自古以来内网arp攻击都是一个问题。pve防火墙正好有一个防止IP欺骗的功能。只要在VM的网络接口上,设置一个ipfilter-net集合,指定某个ip或者某段ip,那么PVE防火墙只会允许这个IP或者ip段进行数据通信。如果不匹配,就阻止任何网络数据!