libvirtd的nwfilter功能丢失no-mac-spoofing报错分析

最新推荐文章于 2024-02-07 10:36:34 发布
最新推荐文章于 2024-02-07 10:36:34 发布
阅读量939 收藏
点赞数
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/u010855924/article/details/56680992
在虚机管理中遇到libvirtError提示'no-mac-spoofing'过滤器缺失,通过检查发现nwfilter-list确实缺少该规则。解决方法是安装libvirt-daemon-config-nwfilter并重启libvirtd服务,之后过滤器恢复正常。nwfilter是libvirt提供的网络过滤功能,用于精细化控制虚拟机的网络流量,规则配置以xml格式保存,对于OpenStack等调用libvirt的环境,配置文件的完整至关重要。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1、查看虚机的宿主机/var/log/nova/nova-compute.log

显示libvirtError: internal error: referenced filter 'no-mac-spoofing' is missing

 

2、输入命令virsh nwfilter-list显示确实缺少no-mac-spoofing

 

3、解决方法:

yum install libvirt-daemon-config-nwfilter

Systemctl restart libvirtd.service

再次输入virsh nwfilter-list查看no-mac-spoofing存在

 

报错原理分析:

libvirt是一套支持Linux下主流虚拟化工具的C函数库,它起初是专门为 Xen 设计的一种管理 API,后来被扩展为可支持多个虚拟机监控程序,目前支持包括 Xen KVM,以及 QEMU 等在内的一些虚拟产品。

libvirtnwfilter功能,全称为network filtering,其目的在于可让系统管理员在host上通过一套抽象的标准化的配置方式实现对vm的网络数据包的过滤,可以准确的控制到每个vm的每块网卡上。同一个filter规则可以被不同的vm重复使用,当然也可以为每一个vm创建不同的filter规则。

nwfilter规则配置好之后,启动vm的时候libvirt会自动将配置规则转换为对应的iptables或者ebtables规则,加载到vm对应的网卡tap设备上。

nwfilter规则配置文件和libvirt其他资源配置一样使用xml格式,文件位置在:/etc/libvirt/nwfilter/no-mac-spoofing.xml

[root@computer01 nova]# cat /etc/libvirt/nwfilter/no-mac-spoofing.xml

openstack调用libvirt库的nwfilter功能时,需要上述配置文件确定虚拟机的包过滤规则,找不到就会出现上述错误!

小云人家
关注
KVM的行为管理 nwfilter规则
Y1309SIR的博客
08-08 1502
KVM的行为规则管理 比如 IP的黑名单白名单 以及端口的黑名单白名单 nwfilter目的是让管理员在host上控制vm的每块网卡。同一个nwfilter规则可以被不同vm重复使用,也可以每个VM创建不同的filter规则。 它的默认路径在/etc/libvirt/nwfilter/ 默认libvirt安装好后会加载一些规则,用户也可以自定义规则。 自定义的规则编写好后使用下面命令加载...
virsh 网络设置_KVM使用Network Filters进行虚拟机网络管理 | leon的博客
weixin_42363501的博客
01-14 855
1.1 Network Filters介绍Network filtering XML为虚拟化系统管理员提供了一种网络流量的过滤规则,系统管理员可以通过配置过滤参数实施和管理对虚拟机网络流量的接受和转发,由于过滤规则不能绕过直接进入虚拟机内,使得一个filter对虚拟用户的访问控制具有强制性。Network filtering 子系统允许每一个虚拟机的网络过滤表可以被单独配置,我们可以在启动时配置虚...
浅析libvirt的nwfilter功能
chenyulancn的专栏
10-08 3085
一、简介 nwfilter全称network filtering,此部分代码由IBM贡献,其目的在于可让系统管理员在host上通过一套抽象的标准化的配置方式实现对vm的网络数据包的过滤,可以准确的控制到每个vm的每块网卡上。同一个filter规则可以被不同的vm重复使用,当然也可以为每一个vm创建不同的filter规则。 当nwfilter规则配置好之后,启动vm的时候libvirt会自动将配
libvirt网络过滤规则:禁止客户机(bridge方式)连接外网
酒醉东坡的专栏
03-30 2765
当使客户机禁止使用外网的时候: virsh nwfilter-define drop.xml drop.xml内容: <filter name='no-ip-inout' chain='ipv4'> <uuid>fce8ae34-e69e-83bf-262e-30786c1f8072</uuid> <rule action='accept' direction='out' priority='100'> <ip srcipaddr='192.168.x.0' dstipadd
nwfilter规则
weixin_34032621的博客
03-12 417
nwfilter目的是让管理员在host上控制vm的每块网卡。同一个nwfilter规则可以被不同vm重复使用,也可以每个VM创建不同的filter规则。它的默认路径在/etc/libvirt/nwfilter/默认libvirt安装好后会加载一些规则,用户也可以自定义规则。自定义的规则编写好后使用下面命令加载virshnwfilter-define规则文件路径取消规则(...
Silent-Face-Anti-Spoofing:静默活体检测(静音面部防欺骗)
03-18
静默活体检测(Silent-Face-Anti-Spoofing) 该项目为的静默活体检测项目,您可以扫描下方的二维码获取安卓端APK,体验静默活体的检测效果。 更新 2020-07-30:开源caffe模型,分享工业级静默活体检测算法技术解析...
Zeusee-Face-Anti-Spoofing:开源配合型人脸活体检测
02-05
Zeusee配合型人脸活体检测 在移动端进行人脸识别应用开发的时候,经常存在用户会使用翻拍照片录制录像等来欺骗人脸识别系统,因此活体检测是人脸识别和人脸验证中非常重要的一个部分,同时目前开源活体检测代码的...
light-weight-face-anti-spoofing:解决欺骗问题
05-18
轻量级面部防欺骗 致力于解决仅RGB数据上的反欺骗问题。 介绍 该存储库包含具有针对人脸反欺骗网络的不同正则化方法的训练和评估管道。 有几种基于MobileNetv2(MN2)和MobileNetv3(MN3)的模型可用于培训。...
big-discriminator-batch-spoofing-gan:具有更多功能的BMSG-GAN
03-16
batch-spoofing-gan:具有更多功能的BMSG-GAN" 这个标题提到了一个名为BMSG-GAN(可能代表Big Batch Spoofing Generator-Adversarial Network)的深度学习模型,它具有一个大的鉴别器和batch spoofing功能。...
Silent-Face-Anti-Spoofing-APK
03-19
该项目为的静默活体检测算法在安卓平台的部署代码。
FACE ANTI-SPOOFING
06-02
FACE ANTI-SPOOFING
libvirt-Network Filter
u011218356的博客
09-01 2335
libvirt-Network Filter 简介 对libvirt-nwfilter 的介主要讲,两个东西,一个是ebtables 。另一个就是它本身nwfilternwfilter主要基于ebtables进行开发或者说配置。其中的一些规则设置好之后,可以利用ebtables查看规则是否设置成功。 ​ libvirt-nwfilter ,主要由libvirt提供的虚拟机网络管理,进行虚拟机群组的网络防火墙设置。 ​ 其目的在于可让系统管理员在host上通过一套抽象的标准化的配置方式实现对vm的网络数
libvirt网络过滤规则简单总结
weixin_34378922的博客
09-12 270
libvirt网络过滤规则, 一个过滤规则定义的示例:   &lt; filter name='no-ip-spoold'chain='ipv4' &gt;  &lt; uuid &gt;fce8ae33-e69e-83bf-262e-30786c1f8072&lt; /uuid &gt;  &lt; rule action='drop' direction='out' priority=...
libvirt 安装
liuskyter
03-28 3105
yum install libvirt [root@localhost ~]# systemctl status libvirtd.service ● libvirtd.service - Virtualization daemon Loaded: loaded (/usr/lib/systemd/system/libvirtd.service; enabled; vendor preset: enabled) Active: failed (Result: start-limit) sin
virt-manager启动本地连接报错:internal error: could not get interface XML description: File operation failed
pengdake300的博客
03-18 1810
0.环境: 操作系统:ubuntu 14.0.4 虚拟机管理工具(图形化):virt-manager 网络管理服务:network(network-manager 卸载了) 1.解决详情:在命令行执行:virsh iface-list --all | tail -n +3 | cut -f2 -d' '    | while read intf; do if [ "$intf" != ""
【Light Reflection】《Aurora Guard:Real-Time Face Anti-Spoofing via Light Reflection》
bryant_meng
02-07 1226
arXiv-2020。
2019 Aurora Guard: Real-Time Face Anti-Spoofing via Light Reflection
我咋学不会的博客
05-08 1084
优图实验室,上海大学,厦门大学 论文笔记:https://blog.youkuaiyun.com/shaopeng568/article/details/89015360 一种基于光反射的人脸抗欺骗方法——AG(Aurora Guard) 训练多任务卷积神经网络(CNN),得到深度图像帮助活体检测,而且提供验证码校验机制回归分支来进一步提高系统的可靠性 利用光反射来得到深度图和光参数序列两个辅助信息,定义光参...
论文:Aurora Guard_ Real-Time Face Anti-Spoofing via Light Reflection
攻城狮的自我修养
09-15 1166
AG 腾讯优图 Main Idea 本文提出了一种简单高效的anti-spoofing方法,不需要特别的硬件设备。利用了多帧RGB图在不同光照条件下具有不同的反射。提出并定义了一种光参数序列light CAPTCHA,应用到人脸上,形成了具有不同反射效果的人脸帧。然后对其提取normal cues,该过程使用了Lambert’s Law。将normal cues输入一个多任务CNN,第一个分支使用...
iptables -t raw -I PREROUTING_Spoofing -i br-lan -j ACCEPT
最新发布
10-19
The `iptables` command allows you to manage network packet filtering and routing using its various tables and chains. In this case, you're referring to the `-t raw` option which deals with unprocessed packets before they're passed through the kernel's networking stack. To insert a rule into the `PREROUTING` chain of the `raw` table, specifically targeting spoofed packets coming from interface `br-lan`, and allowing them, you would use the following syntax: ```shell iptables -t raw -I PREROUTING_Spoofing -i br-lan -j ACCEPT ``` Here's what each part means: - `-t raw`: Selects the `raw` table. - `-I PREROUTING_Spoofing`: Inserts the rule at a specified position (`I` stands for "insert") within the `PREROUTING` chain, assuming there's already a `PREROUTING_Spoofing` chain defined or create one if it doesn't exist. This chain is typically used to handle incoming packets before any processing. - `-i br-lan`: Matches the packet ingress interface as `br-lan`. - `-j ACCEPT`: Applies the `ACCEPT` action, meaning allow these packets to pass through without further inspection. Remember to run this command with appropriate privileges, such as root access, since modifying the `raw` table usually requires elevated permissions.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值