Configure o FirewallD para permitir acesso de rede de máquina virtual em ponte

Eu tenho um convidado do Windows em execução em uma máquina virtual QEMU / KVM virt-manager.

Meu NIC principal eno1 está em uma ponte br1 , que é configurada com a configuração do endereço IP do meu host. Esta VM está conectada à referida ponte.

Meu firewall de host está em sua configuração padrão: Zona Padrão: FedoraWorkstation

Se eu parar firewalld (e iptables mostrar regras de firewall vazias), o convidado funcionará corretamente. Sem parar o firewall, meu convidado não pode se comunicar com a rede externa. (Ele pode pingar, mas não fazer solicitações de DNS ou conexões TCP.)

Como configuro o firewall para permitir acesso total ao convidado?

Esta postagem no fórum sugeriu o seguinte script Bash usando iptables :

#!/bin/sh

# If I put bridge0 in trusted zone then firewalld allows anything from 
# bridge0 on both INPUT and FORWARD chains !
# So, I've put bridge0 back into the default public zone, and this script 
# adds rules to allow anything to and from bridge0 to be FORWARDed but not INPUT.

BRIDGE=bridge0
iptables -I FORWARD -i $BRIDGE -j ACCEPT
iptables -I FORWARD -o $BRIDGE -j ACCEPT

Confirmei que isso funciona, mas pretendo configurar permanentemente meu firewall para alcançar esse comportamento. Idealmente, isso seria feito com as ferramentas internas FirewallD .