nwfilter规则

nwfilter目的是让管理员在host上控制vm的每块网卡。同一个nwfilter规则可以被不同vm重复使用，也可以每个VM创建不同的filter规则。

它的默认路径在/etc/libvirt/nwfilter/

默认libvirt安装好后会加载一些规则，用户也可以自定义规则。

自定义的规则编写好后使用下面命令加载

virsh nwfilter-define 规则文件路径

取消规则（有虚拟机使用时无法取消）

virsh nwfilter-undefine 规则名

查看已经加载的nwfilter规则

virsh nwfilter-list

编译规则：

virsh nwfilter-edit windows (编辑保存后就立刻生效)

也可以vi 直接编辑规则的xml的文件，编辑完成后nwfilter-define后生效

 

 

规则链：
nwfilter支持的网卡模式bridge和network

所有规则链都入口都为顶部的root在xml中这样写

规则链支持的协议:root,stp,mac,vlan,ipv4,ipv6,arp,rarp

链名前缀以协议开头，xml示例如：