Re: Configurer le firewall d'un hôte libvirt/qemu/qemu
Le 21 janvier 2025 Sébastien NOBILI a écrit :
>> 1. Comment comprendre la remarque ci-dessus "# Warning: table ip
>> filter is managed by iptables-nft, do not touch!" ?
>
> Ça signifie que si tu crées un fichier de conf. pour nftables qui ajoute
> des règles à cette table (ou si tu scriptes des ajouts à cette table),
> alors tu t'exposes à la disparition de tes règles quand l'intégration
> libvirt aura besoin de vider les règles de cette table.
>
>> 2. Comment puis-je intégrer en toute sécurité, mes propres règles de
>> firewalling ?
>
> Soit en modifiant directement le fichier /etc/nftables.conf pour y ajouter
> tes règles, soit en le modifiant pour ajouter la ligne suivante, te permettant
> ensuite de créer tes propres règles dans des fichiers séparés :
>
> "include "nftables.d/*"
Je n'en suis pas sûr. iptables-nft est un outil du paquet iptables qui ,je
crois, fait une passerelle de iptables vers nftables, traduisant les règles
iptables en règles nftables consultables avec la commande nft. Des règles
iptables utilisées par libvirt doivent sans doute exister quelque part.
/etc/nftables.conf est un fichier chargé au boot par le service
nftables.service (/lib/systemd/system/nftables.service) du paquet
nftables. Et donc je pense qu'il vaut mieux ne pas l'utiliser si libvirt
utilise un autre fichier de configuration.
Je ne connais pas libvirt mais il y a peut-être moyen de le faire
utiliser nftables au lieu d'iptables, et de préciser un fichier de
configuration.
Reply to: