domUが送受信するパケットのIPアドレスを制限する - まどぎわBLOG前回に引き続きCentOS 5でのXenに関するネタです。今回実現したいのは、例えばdomUのIPアドレスが192.168.1.2だった場合、それ以外のIPを利用して送受信するのを防ぐことです。これはdomUのroot権限を持ったユーザが、IPアドレスを詐称して通信する場合などを想定しています。そのためdom0側で通信を制限する方法を考えます。 以下の例では、domU側のeth0をvif1.0としてブリッジに接続している場合を想定しています。またdomUのIPアドレスは192.168.1.2とします。 この設定を実現する方法として、ここではブリッジの入出力部分であるvif1.0を出入りするパケットについて、IPアドレスが許可されたものかどうかを確認するようにします。 iptablesでブリッジのフィルタリングをする場合、physdevモジュールを利用することができます。そこでphysdev
