Bonjour,
J'ai une machine sous Bookworm, qui fait office d'hôte libvirt.
Elle héberge une ou deux VM.
J'ai besoin de changer son adressage en lui donnant un IP publique.
Je voudrai la protéger en rejetant tout le traffic WAN entrant qui ne
vient pas de quelques
adresses spécifiques.
En préparant cet ajout, j'ai été surpris de voir qu'il pré-existe déjà
un tas de règles iptables/nftables probablement ajoutées par libvirt:
# nft list ruleset
# Warning: table ip filter is managed by iptables-nft, do not touch!
table ip filter {
chain LIBVIRT_INP {
iifname "virbr0" udp dport 53 counter packets 0 bytes 0 accept
iifname "virbr0" tcp dport 53 counter packets 0 bytes 0 accept
iifname "virbr0" udp dport 67 counter packets 0 bytes 0 accept
iifname "virbr0" tcp dport 67 counter packets 0 bytes 0 accept
}
...
Ces règles semblent se concentrer sur les échanges entre la machine
hôte et les invités. Elle ne précisent rien sur les échanges entre la
machine hôte et Internet. Ces règles semblent correspondre aux règles
du répertoire /etc/libvirt/nwfilter.
1. Comment comprendre la remarque ci-dessus "# Warning: table ip
filter is managed by iptables-nft, do not touch!" ?
Quel est le fichier de config qui, au démarrage, lance la
configuration iptables-nft visible plus haut ?
2. Comment puis-je intégrer en toute sécurité, mes propres règles de
firewalling ?
Slts