LINUX.ORG.RU
ФорумAdmin

Добавляются правила iptables для виртуалки

 ,


1

1

В домашней песочнице Centos 7 установил qemu-kvm libvirt virt-install ну и кручу виртуалку Centos 8.

Правил iptable на Centos 7 никаких нет, все политики в ACCEPT, комп в локалке, но что заметил…. после перезагрузки самой песочницы, появляются правила, не могу найти где эти правила и кто прописывает.

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)

      12  456 REJECT     all  --  *      virbr0  0.0.0.0/0        0.0.0.0/0    reject-with icmp-port-unreachable
       0    0 REJECT     all  --  virbr0 *       0.0.0.0/0        0.0.0.0/0        reject-with icmp-port-unreachable


И среди правил REJECT, не подскажет ли уважаемое сообщество, где эти правила вставляются? В /etc/sysconfig/iptables нет ничего подобного. А этот REJECT мне совсем не нужен.

★★★★

Ответ на: комментарий от anonymous

libvirt

Да, шарился я по /etc/libvirt/nwfilter, но там файлики xml, а что с ними делать и как…. нельзя подробнее и или ссылку какую на доку

а вот что то нашлось https://libvirt.org/firewall.html спасибо

alex_sim ★★★★
() автор топика
Последнее исправление: alex_sim (всего исправлений: 1)
Ответ на: комментарий от alex_sim

Я сам с libvirt не работаю, предпочитаю Proxmox. Что-то сверх доки по ссылке добавить не могу, но посоветовал бы не спорить с решениями для виртуализации, которые что-то делают с файрволлом. Считай это implementation details :)

anonymous
()
Ответ на: комментарий от anonymous

, но посоветовал бы не спорить с решениями для виртуализации, которые что-то делают с файрволлом. Считай это implementation details :)

Это имеет место быть и мы ничего не сделаем с этим, но на этапе отладки, в песочнице… я сам то там то тут а удаленно возникают проблемы, это отладка запускаю свой скрип примитивный и он все возвращает на круги. .. но запустить скрипт я должен. Ну и опять же хотелось бы все иметь анде контроль, а тут ….

alex_sim ★★★★
() автор топика

Патчить libvirtd, либо костылить. Я ставлю в систему фиктивный пакет rpm iptables с задранным до небес epoch. Внутри пакета бинарник iptables, который реализует только вывод версии iptables. Сам фаерволл делается средствами nftables.

Bloody ★★
()

Создайте пустой бридж br0 со статический адресом, в libvirt (например с помощью virt-manager) остановите и удалите интерфейс virbr0, сеть виртуальной машины переключите на созданный бридж, при необходимости dhcp-сервер можно штатным средствами развернуть на хосте повесив его на br0.

Nastishka ★★★★★
()
Последнее исправление: Nastishka (всего исправлений: 1)
Ответ на: комментарий от Bloody

Патчить libvirtd, либо костылить.

Костыли это понятно, это наше ФСЁ! А что вы имеете ввиду под патчить?

C головы никак не идет, неужели я не могу поменять правило фаервола при загрузке libvirtd без костылей…

alex_sim ★★★★
() автор топика
Последнее исправление: alex_sim (всего исправлений: 2)
Ответ на: комментарий от Nastishka

Создайте пустой бридж br0 со статический адресом

Спасибо Настя, помучаюсь еще конечно, но наверно придется так и сделать.

alex_sim ★★★★
() автор топика
Ответ на: комментарий от Nastishka

я написал про то, что раньше от вставки правил iptables спасало использование bridge, но примерно с 30 федоры это не помогает.

Bloody ★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.