Xen 上有个 antispoof 配置选项就是来解决这个问题的,不过默认配置没有打开这个 antispoof 选项,需要修改:代码如下:# vi /etc/xen/xend-config.sxp...(network-script network-bridge antispoof=yes)...修改 /etc/xen/scripts/vif-common.sh 里面的 frob_iptable() 函数部分,加上 iptables 一行:代码如下:# vi /etc/xen/scripts/vif-common.shfunction frob_iptable(){...iptables -t raw $c PREROUTING -m physdev --physdev-in $vif $@ -j NOTRACK}修改完 Xen 配置后还需要修改 domU 的配置,给每个 domU 分配固定 IP 和 MAC 地址,还有 vif 名字:代码如下:# vi /etc/xen/vm01...vif = [ vifname=vm01,mac=00:16:3e:7c:1f:6e,ip=172.16.39.105,bridge=xenbr0 ]...很多系统上 iptables 在默认情况下都不会理会网桥上的 FORWARD 链,所以需要修改内核参数确保 bridge-nf-call-iptables=1,把这个修改可以放到 antispoofing() 函数里,这样每次 Xen 配置网络的时候会自动配置内核参数:代码如下:# vi /etc/xen/scripts/network-bridgeantispoofing () {echo 1 > /proc/sys/net/bridge/bridge-nf-call-iptables...}修改完毕后测试的话需要关闭 domU,重启 iptables 和 xend 服务,再启动 domU.代码如下:# xm shutdown vm01# /etc/init.d/iptables restart# /etc/init.d/xend restart# xm create vm01上面的方法在 Xen 3.x 上 测试有效,有人说在 Xen 4.x 上行不通,我们下面将要介绍的方法绕开了 Xen 配置,直接从 iptables 限制,在 Xen 3.x 和 Xen 4.x 上应该都可以用 。