PVE防火墙实战,防止ARP攻击/ip欺骗
介绍
Proxmox VE防火墙基本功能都有,非常齐全。自古以来内网arp攻击都是一个问题。pve防火墙正好有一个防止IP欺骗的功能。
只要在VM的网络接口上,设置一个ipfilter-net集合,指定某个ip或者某段ip,那么PVE防火墙只会允许这个IP或者ip段进行数据通信。如果不匹配,就阻止数据,即使是内网数据也会阻止!
使用前提
1、防火墙功能开启
2、开启VM防火墙【IP过滤】
使用方法
1、shell终端里操作。
vi /etc/pve/firewall/<vmid>.fw #这里的vmid 就是你的vm序列号
##添加
[IPSET ipfilter-net<id>]
ip/ip段
举例。我的VM的id为105。在网卡0上设置filterip为10.13.14.100。当前IP为10.13.14.203。
vi /etc/pve/firewall/105.fw
[OPTIONS]
enable: 1
ipfilter: 1 #启用ip过滤
[IPSET ipfilter-net0] #网卡0上的ip过滤规则
10.13.14.100
设置之后,再vm里面。ping网关,全部不通。
当我们把vm的ip改成10.13.14.100 。就全部通了
注意到没。我这里的截图都是VNC的截图。也就是如果ip过滤开启,不对应的话。你除了控制台可以进主机,其他任何网络方法不都不行。 当然qemu-guest-agent不影响。
二:WEB-gui操作
例子是一个id为106的虚拟机,ip为10.13.14.102
开启防火墙和IP过滤
在IPSet中,点击创建一个名为ipfilter-net<id>的集合。我这里是网卡0,所以是
ipfilter-net0
再选中这个 ipfilter-net0 。点击右边的添加。输入需要绑定IP的。我这里是10.13.14.103
设置绑定的IP为10.13.14.103,因为vm现在的ip是10.13.14.102。所以vm现在应该不能通信,进去试试。
不能通信。完美!
总结
pve的防火墙功能基本够用,也很强大。 ipfilter 这个功能难点就是GUI上根本没有介绍,不仔细研究官网说明,根本不知道有这个东西。目前pve版本再6.1。可能再接下来的版本会增加这个功能的gui选项吧。
ipfilter 通过ip和网卡绑定,能够有效的防止内网arp欺骗。
作者:佛西
链接:https://foxi.buduanwang.vip/virtualization/pve/533.html/
文章版权归作者所有,未经允许请勿转载
如需获得支持,请点击网页右上角
kklac
佛西@kklac
?
佛西@?
togel hk hari ini