Eu estou tentando configurar alguns fluxos com ovs-ofctl para bloquear todos os pacotes de entrada indesejados para uma VM. Os comandos que eu uso são:
ovs-ofctl add-flow xenbr0 "priority=65000, table=0, tcp, dl_src=*, nw_src=*, dl_dst=ba:90:11:a0:05:e4, nw_dst=192.168.0.18, tp_dst=22, tp_src=*, nw_proto=6, hard_timeout=60, actions=normal"
ovs-ofctl add-flow xenbr0 "priority=65000, table=0, tcp, dl_src=*, nw_src=*, dl_dst=ba:90:11:a0:05:e4, nw_dst=192.168.0.18, tp_dst=80, tp_src=*, nw_proto=6, hard_timeout=60, actions=normal"
ovs-ofctl add-flow xenbr0 "priority=64000, table=0, tcp, dl_src=ba:90:11:a0:05:e4, nw_src=192.168.0.18, dl_dst=*,nw_dst=*, tp_dst=*, tp_src=*, nw_proto=6, hard_timeout=60, actions=normal"
ovs-ofctl add-flow xenbr0 "priority=60000, table=0, tcp, dl_src=*, nw_src=*, dl_dst=ba:90:11:a0:05:e4, nw_dst=192.168.0.18, tp_dst=*, nw_proto=6, hard_timeout=60, actions=drop"
Eles estão funcionando muito bem - eles permitem conexões de entrada nas portas 22 e 80 e soltam o restante. Mas há um grande problema: A regra de fluxo / queda também não permite SYN-ACKs recebidos. Quando quero estabelecer uma conexão da VM com um host remoto, isso não funcionará.
Minha referência para os comandos: link
Agora preciso saber se é possível:
Obrigado antecipadamente.
Tags networking iptables firewall linux