PVE防火墙实战,防止ARP攻击/ip欺骗

介绍

Proxmox VE防火墙基本功能都有,非常齐全。自古以来内网arp攻击都是一个问题。pve防火墙正好有一个防止IP欺骗的功能。

只要在VM的网络接口上,设置一个ipfilter-net集合,指定某个ip或者某段ip,那么PVE防火墙只会允许这个IP或者ip段进行数据通信。如果不匹配,就阻止数据,即使是内网数据也会阻止!

使用前提

1、防火墙功能开启
2、开启VM防火墙【IP过滤】

使用方法

1、shell终端里操作。

vi /etc/pve/firewall/<vmid>.fw        #这里的vmid 就是你的vm序列号
##添加
[IPSET ipfilter-net<id>]
ip/ip段

举例。我的VM的id为105。在网卡0上设置filterip为10.13.14.100。当前IP为10.13.14.203。

vi /etc/pve/firewall/105.fw
[OPTIONS]

enable: 1 
ipfilter: 1    #启用ip过滤
 
[IPSET ipfilter-net0]   #网卡0上的ip过滤规则
10.13.14.100

设置之后,再vm里面。ping网关,全部不通。

当我们把vm的ip改成10.13.14.100 。就全部通了

注意到没。我这里的截图都是VNC的截图。也就是如果ip过滤开启,不对应的话。你除了控制台可以进主机,其他任何网络方法不都不行。 当然qemu-guest-agent不影响。

二:WEB-gui操作

例子是一个id为106的虚拟机,ip为10.13.14.102

开启防火墙和IP过滤

在IPSet中,点击创建一个名为ipfilter-net<id>的集合。我这里是网卡0,所以是
ipfilter-net0

再选中这个 ipfilter-net0 。点击右边的添加。输入需要绑定IP的。我这里是10.13.14.103

设置绑定的IP为10.13.14.103,因为vm现在的ip是10.13.14.102。所以vm现在应该不能通信,进去试试。

不能通信。完美!

总结

pve的防火墙功能基本够用,也很强大。 ipfilter 这个功能难点就是GUI上根本没有介绍,不仔细研究官网说明,根本不知道有这个东西。目前pve版本再6.1。可能再接下来的版本会增加这个功能的gui选项吧。

ipfilter 通过ip和网卡绑定,能够有效的防止内网arp欺骗。

Author: 佛西

Leave a Reply

Your email address will not be published.