simple pare-feu nftables compatible libvirt?

Recherche :

Dernière réponse

Sujet : simple pare-feu nftables compatible libvirt?

rat de combat

Visiblement il y a un soucis encore. Suite au n-ième plantage de la CG :kaola: j'ai dû redémarrer et me voilà avec une belle erreur dans journalctl -b:

Mai 01 18:09:04 home nft[514]: /etc/nftables.conf:13:7-12: Error: Interface does not exist
Mai 01 18:09:04 home nft[514]: iif virbr0 accept
Mai 01 18:09:04 home nft[514]: ^^^^^^

Je suppose que virbr0 est créé par libvirtd.service qui est lancé après nft ou quelque chose comme ça. Une idée comment arranger cette histoire?

EDIT: à priori réglé en remplacant iif par iifname.

Votre réponse

Nom d'utilisateur

Pour poster, vous devez être inscrit sur ce forum .... si ce n'est pas le cas, cliquez ici !

Le ton de votre message

Votre réponse

Smilies

Liste des smilies perso
Wiki smilies
Chercher un smiley

Options

Activer votre signature
Désactiver les smilies
Activer la notification par email du sujet

Aperçu

Vous avez perdu votre mot de passe ?

Vue Rapide de la discussion

rat de combat

Visiblement il y a un soucis encore. Suite au n-ième plantage de la CG :kaola: j'ai dû redémarrer et me voilà avec une belle erreur dans journalctl -b:

Mai 01 18:09:04 home nft[514]: /etc/nftables.conf:13:7-12: Error: Interface does not exist
Mai 01 18:09:04 home nft[514]: iif virbr0 accept
Mai 01 18:09:04 home nft[514]: ^^^^^^

rat de combat

Bon, après beaucoup de recherche j'ai trouvé un truc qui fonctionne plus ou moins(*), par contre j'ai des gros doutes si c'est correct.

(*) Dans mes VM Debian je ne vois aucun réseau si je clique sur l'icône du manageur, par contre j'ai internet avec DNS et tout.

edit: Je précise que j'utilise le mode "NAT" dans virt-manager, c'est celui par défaut.

Si quelqu'un pouvait commenter:

# cat /etc/nftables.conf
#!/usr/sbin/nft -f

flush ruleset

table inet filter {
chain input {
type filter hook input priority 0;

# accept any localhost traffic
iif lo accept

# added: make NAT from libvirt work
iifname virbr0 accept

# accept traffic originated from us
ct state established,related accept

# accept neighbour discovery otherwise IPv6 connectivity breaks.
ip6 nexthdr icmpv6 icmpv6 type { nd-neighbor-solicit, nd-router-advert, nd-neighbor-advert } accept

# drop any other traffic
drop
}
}

libvirt rajoute tout un bazar, je peux fournir ce que donne nft list ruleset, mais c'est long...

edit: iif -> iifname, voir message suivant.

rat de combat

Personne? :sweat:

rat de combat

Bonjour,

j'ai installé Debian 11 sur une machine directement connectée à internet (!) et j'ai mis en place un simple pare-feu (copié l'exemple "workstation" :o en enlevant juste le "counter" dont j'ai pas besoin):

$ cat /etc/nftables.conf
#!/usr/sbin/nft -f

flush ruleset

table inet filter {
chain input {
type filter hook input priority 0;

# accept any localhost traffic
iif lo accept

# accept traffic originated from us
ct state established,related accept

# accept neighbour discovery otherwise IPv6 connectivity breaks.
ip6 nexthdr icmpv6 icmpv6 type { nd-neighbor-solicit, nd-router-advert, nd-neighbor-advert } accept

# count and drop any other traffic
drop
}
}

Ca fonctionne, j'ai internet, par contre j'ai des soucis avec KVM/libvirt/Qemu/bazar, à savoir que mes machines virtuelles n'ont aucun accès internet ("réseau non disponible" ). Si je désactive mon pare-feu (flush ruleset) j'ai internet dans les VM, mais je me retrouve sans pare-feu...

Je précise que KVM/libvirt installe iptables aussi et que je n'y connais absolument rien ni a iptables ni à nftables.

Est-il possible d'adapter le "code" du haut pour faire fonctionner libvirt correctement? J'ai vu firewalld mais ça semble encore bien compliqué. Avec iptables sous Deb10 j'avais un pare-feu et mes VM avaient internet, mais là je sèche...

Je peux fournir beaucoup plus d'informations, dites moi ce qu'il vous faut. :jap: