Как запретить/фильтровать соединения vm в одном vlan через мост ovs? Гипервизор, на нем ovs bridge, и ответная часть интерфейса vm - в мосту, с vlan тегом, все работает, но если в том же vlan есть вторая vm, они имеют между собой нефильтруемое L2 соединение, а, так как это тестовый сегмент vm с доступом в интернет, и доступностью через интернет, хотелось бы по максимум закрыть от них доступность локальной сети,за ovs мостом стоит коммутатор, который фильтрует все локальные соединения. Вопрос, возможно ли запретить ovs гонять трафик трафик между интерфейсами в одном vlan, и, если нет, возможно ли их фильтровать? Переезд на linux мост не желателен. Ранее раскидывал все vm по разным тегам, и уже на стороне обьединял через linux мост с iptables фильтром, но хотелось бы избавиться от этого.

Предыдущий
вопрос Следующий
вопрос

Для фильтрации трафика между VM в одном VLAN через мост OVS можно использовать функцию портового маршрутизации (port mirroring) в Open vSwitch (OVS). Для этого необходимо настроить правила маршрутизации в OVS таким образом, чтобы трафик между определенными портами (интерфейсами VM) был перенаправлен на специальный порт, на котором будет работать фильтр правил доступа (ACL).

Пример конфигурации OVS для фильтрации трафика между VM в одном VLAN:

Создайте ACL правила на порту фильтрации:

sudo ovs-vsctl -- set Port qos=@newqos -- --id=@newqos create QoS type=linux-htb other-config:max-rate=0 queues=0=@q0 -- --id=@q0 create Queue other-config:max-rate=0 -- set port qos=@newqos

Настройте правила маршрутизации для перенаправления трафика на порт фильтрации:

sudo ovs-ofctl add-flow "in_port=,actions=output:"

sudo ovs-ofctl add-flow "in_port=,actions=output:"

Где:

<bridge_name> - название OVS моста<vm_port1>, <vm_port2> - порты, соответствующие интерфейсам VM<filter_port> - порт, на котором работает фильтр правил доступа

Таким образом, трафик между указанными портами будет фильтроваться и можно настроить правила фильтрации для ограничения доступа между VM в одном VLAN через мост OVS.