PVE 防火墙开启 IP Filter + MAC Filter 能有效防御 ARP 攻击吗？在 PVE 论坛找到的帖子说可以，但是 GPT 告诉我不可以，因为 ARP 攻击发生在第 2 层而软件防火墙工作在第三层

软件层面防不住 arp 的，这个东西得靠二层交换机把硬件 mac 地址跟端口绑定住，且硬件层面把不符合硬件网口的 arp 包过滤掉

普通交换机的以太网协议 就是一个匿名论坛，谁都可以吼一嗓子，谁都可以应答

arp 攻击主要是在内网中，一是发送 ARP 包把自己伪造成网关或者重要服务器，破坏正常访问，二是发送大量 ARP 包，造成交换机或者网关拥塞。不知道你的网络是有什么顾虑

网卡是 pve 虚拟出来的，IP 是 pve 下发的，它完全可以知道某个包在发出时合不合法，理论上应当可以。

pve 虚拟出来的网络接口并不是物理上的，所以可能如 4 楼说的，pve 是能够管控到整个二层三层

PVE 所处的地位是可以的，但没那功能，你得 diy

PVE 是虚拟机吧，那么它是一个模拟器，它的硬件通路（交换和路由）是软件代码模拟出来的，当然有和真实硬件一样的功能，即可以对工作在第二层上的数据包进行操作。

GPT 的回答也没错，它的理解可能认为你使用的是工作在真实硬件上的软件防火墙，那个无法操作第二层的数据报，自然没法防御 ARP

@snoopygao 担心有 VM 被黑后 MITM 获取其它 VM 内网通信流量

@drymonfidelia 猜你想找：bridge isolated on? pve 里勾一下就行，缺点是太隔离了。
如果你想二层保持互通，过滤非法 arp 包的话可以 ebtables 手动绑 mac 地址和 ip 滤 arp 包。看了下我的 pve 后台确实没这种开关。特殊处理某个协议确实也挺奇怪的，但这种常见需求多少留个一键开关才合理吧。

@ihciah 你说的是 VNets 里面的 Isolate Ports 么，SDN 那边的功能我都没弄明白，现在我的做法是每个虚拟机分别给一个 Linux Bridge ，这样所有到其它主机网段的流量都必须通过网关转发，我查了下 ARP 是没办法跨网关的，应该足够安全了吧？