2.4.4 Сетевые фильтры

В системе используется механизм работы с фильтрами библиотеки libvirt. Это позволяет назначать фильтры управления трафиком на каждый интерфейс виртуальной машины независимо. В системе Tionix Virtual Security (TVS) фильтры (общий список) создаются в рамках домена безопасности и далее назначаются либо на группу безопасности, либо на конкретную виртуальную машину.

При назначении фильтра на группу безопасности сществует возможность указания параметра сетевого интерфейса, к которому применяется этот фильтр на виртуальной машине (mac-адрес, возможно другие дополнительные параметры) — это позволяет более детально управлять фильтрами трафика групп безопасности. На одну группу безопасности можно назначить несколько фильтров, применяться они будут в порядке назначения и попадания по маске для заданной группы.

При назначении группы безопасности виртуальной машине существует возможность указания приоритета группы безопасности для обеспечения возможности назначения фильтров группы в зависимости от ее приоритета. Также для виртуальной машины, при назначении фильтра есть возможность включать опцию: «Игнорировать сетевые фильтры групп безопасности». При назначении фильтра на виртуальную машину указывается mac-адрес интерфейса, на который данный фильтр будет применен. На каждый mac-адрес можно назначить несколько фильтров. Применяются они в порядке назначения. Также при назначении фильтра можно включить опцию: «Игнорировать сторонние сетевые фильтры» - в этом случае они не будут учитываться при формировании конечного фильтра. Предусмотрена возможность просмотра результирующего фильтра (вычисляемого) для каждого заданного mac-адреса.

Сетевые фильтры позволяют организовывать ограничения хождения трафика от любой ВМ в любую часть сети.

Во вкладке «Сетевые фильтры» отображаются фильтры, доступные в домене (Рис. 2.193).

Отображаемые параметры:

  • Имя – наименование сетевого фильтра;
  • Описание – описание сетевого фильтра;
  • Цепочка – цепочка сетевого фильтра;
  • Кнопки «Удалить»;
  • Кнопки «Создать»;
  • Кнопка «Информация»;
  • Поле «Фильтр».
../../_images/VIR_G_07.png

Рис. 2.193 Виртуализация. Сетевые фильтры

2.4.4.1 Создание сетевого фильтра

Перейдите на страницу:

Домены >> Имя домена >> Виртуализация >> Сетевые фильтры.

Нажмите на кнопку «Создать», расположенную внизу окна. (Рис. 2.193). В открывшемся окне «Создание сетевого фильтра» заполните параметры:

  • Имя;
  • Описание;
  • Цепочка (выберите из выпадающего списка нужную цепочку) (Рис. 2.194).

Нажмите на кнопку «Создать». Созданный фильтр отобразится в колонке «Имя».

../../_images/VIR_G_08.png

Рис. 2.194 Детали сетевого фильтра. Выбор «Цепочки»

2.4.4.2 Удаление сетевого фильтра

Для удаления сетевого фильтра перейдите на страницу:

Домены >> Имя домена >> Виртуализация >> Сетевые фильтры.

Выделите строку удаляемого сетевого фильтра, отобразится кнопка «Удалить» в левом углу окна интерфейса. Нажмите на кнопку «Удалить», расположенную внизу окна интерфейса. Подтвердите свое действие во всплывающем окне.

2.4.4.3 Редактирование параметров сетевого фильтра

2.4.4.3.1 Основное

Перейдите на страницу:

Домены >> Имя домена >> Виртуализация >> Сетевые фильтры.

Нажмите в строке редактируемого сетевого фильтра на кнопку «i», расположенную в конце строки сетевого фильтра. Произойдет автоматический переход в настройки сетевого фильтра, вкладка «Основное» (Рис. 2.195). Нажмите на кнопку «Изменить» для редактирования параметров сетевого фильтра. Далее отредактируйте поля:

  • Имя – имя сетевого фильтра;
  • Описание – описание сетевого фильтра;
  • Цепочка – выберите из списка цепочку сетевого фильтра.

Нажмите на кнопку «Сохранить».

../../_images/VIR_G_09.png

Рис. 2.195 Редактирование основных параметров сетевого фильтра

2.4.4.3.2 Правила сетевого фильтра

В данной вкладке отображаются правила сетевого фильтра либо ссылки на другой фильтр, а также предоставляется возможность создания нового правила (Рис. 2.196). Правила сетевого фильтра содержат следующие параметры:

  • Направление трафика (Входящий, исходящий, весь);
  • Протокол;
  • Сверка состояния – сверка состояния основного соединения (да/нет);
  • Ограничение соединений;
  • Отрицание - отрицание к правилу;
  • Действие – действие, которое будет выполнено при применении правила. Возможные действия: сбросить, отклонить, принять, вернуть, продолжить);
  • Функция выставления по приоритету (вверх-вниз);
  • Кнопка «Создать».
../../_images/VIR_G_10.png

Рис. 2.196 Вкладка «Правила сетевого фильтра»

В каждом сетевом фильтре можно задать определенные правила сетевого трафика, требуемые для решения задачи пользователя, которые разрешают/запрещают прохождение трафика, также можно создать ссылку на другой фильтр.

Создание правила

Для создания правила сетевого фильтра нажмите на кнопку «Создать» на вкладке «Правила сетевого фильтра» (Рис. 2.196). В выпадающем списке выберите пункт «Правило». В открывшемся окне «Создание правила сетевого фильтра» заполните поля (Рис. 2.197):

  • Направление трафика – выберите из выпадающего списка направление трафика (входящий, исходящий, весь).

  • Протокол – выберите протокол, который будет контролироваться из выпадающего списка:

    • AH;
    • AH поверх IPv6;
    • Все протоколы;
    • Все протоколы поверх IPv6;
    • ARP;
    • ESP;
    • ESP поверх IPv6;
    • ICMP;
    • ICMPv6;
    • IGMP;
    • IPv4;
    • IPv6;
    • MAC (Ethernet);
    • RARP;
    • SCTP;
    • SCTP поверх IPv6;
    • STP (Spanning Tree Protocol);
    • TCP;
    • TCP поверх IPv6;
    • UDP;
    • UDP поверх IPv6;
    • UDPLITE;
    • UDPLITE поверх IPv6;
    • VLAN (802.1Q).
  • Отрицание – если включено, то правило применяется в случае, если атрибуты протокола не совпадают с указанными значениями;

  • Сверка состояния – включение/выключение сверки состояния основного соединения;

  • Ограничение соединений – ограничение количества одновременных соединений, удовлетворяющих правилу;

  • Действие – выберите из выпадающего списка действие, которое будет выполнено при применении правила (сбросить, отклонить, принять, вернуть, продолжить);

  • Атрибуты – нажмите на знак «+» (добавить), во вновь открывшемся окне «Создание атрибута» выберите из выпадающего списка один из атрибутов в зависимости от выбранного протокола.

Нажмите на кнопку «Создать», после чего созданное правило сетевого фильтра отобразится во вкладке «Правила сетевого фильтра».

../../_images/VIR_G_11.png

Рис. 2.197 Окно «Создание правила сетевого фильтра»

Создание ссылки

Для создания ссылки нажмите на кнопку «Создать» на вкладке «Правила сетевого фильтра» (Рис. 2.196) и в контекстном меню выберите пункт «Ссылка» (Рис. 2.198). В открывшемся окне «Создание правила сетевого фильтра» заполните поля (Рис. 2.197):

  • Ссылка на фильтр – из выпадающего списка выберите нужный фильтр, на который хотите сослаться;
  • Параметры – нажмите на знак «+» (добавить), во вновь открывшемся окне «Создание параметра» заполните поля «Имя» и «Значение» параметра. Нажмите на кнопку «Создать».

Примечание.

Для подсистемы фильтрации сетевого трафика зарезервированы имена двух переменных (параметров): MAC и IP. Правило фильтрации, ссылается на этот параметр, автоматически с помощью MAC-адреса интерфейса. Пользователю не нужно вручную предоставлять параметр MAC. Параметр представляет IP-адрес, который операционная система внутри виртуальной машины будет использовать на данном интерфейсе. Использование данных параметров позволяет создавать шаблонные цепочки фильтра. В системе существуют зарезервированные параметры (IP, MAC для IP и MAC адреса интерфейса соответственно).

Нажмите на кнопку «Создать», после чего созданное правило сетевого фильтра отобразится во вкладке «Правила сетевого фильтра».

../../_images/VIR_G_12.png

Рис. 2.198 Создание ссылки

Сетевые фильтры, назначенные на ВМ отображаются в разделе сетевые фильтры. Добавление в ВМ созданных сетевых фильтров описано в разделе (Раздел 2.4.2) данного руководства.

../../_images/VIR_G_13.png

Рис. 2.199 Удаление правила сетевого фильтра

Для удаления правила выделите строку с правилом, отобразится кнопка «Удалить» (Рис. 2.199). Завершите процесс удаления, нажав на кнопку «Удалить».