Configure o FirewallD para permitir acesso de rede de máquina virtual em ponte

4

Eu tenho um convidado do Windows em execução em uma máquina virtual QEMU / KVM virt-manager.

Meu NIC principal eno1 está em uma ponte br1 , que é configurada com a configuração do endereço IP do meu host. Esta VM está conectada à referida ponte.

Meu firewall de host está em sua configuração padrão: Zona Padrão: FedoraWorkstation

Se eu parar firewalld (e iptables mostrar regras de firewall vazias), o convidado funcionará corretamente. Sem parar o firewall, meu convidado não pode se comunicar com a rede externa. (Ele pode pingar, mas não fazer solicitações de DNS ou conexões TCP.)

Como configuro o firewall para permitir acesso total ao convidado?

Esta postagem no fórum sugeriu o seguinte script Bash usando iptables :

#!/bin/sh

# If I put bridge0 in trusted zone then firewalld allows anything from 
# bridge0 on both INPUT and FORWARD chains !
# So, I've put bridge0 back into the default public zone, and this script 
# adds rules to allow anything to and from bridge0 to be FORWARDed but not INPUT.

BRIDGE=bridge0
iptables -I FORWARD -i $BRIDGE -j ACCEPT
iptables -I FORWARD -o $BRIDGE -j ACCEPT

Confirmei que isso funciona, mas pretendo configurar permanentemente meu firewall para alcançar esse comportamento. Idealmente, isso seria feito com as ferramentas internas FirewallD .

    
por Jonathon Reinhart 23.10.2015 / 16:46

1 resposta

9

Eu estava tendo o mesmo problema. e depois de cavar descobriu que firewalld tem passagem direta para o iptables

então, você pode usar as mesmas regras de encaminhamento que você tinha no seu script, mas deixar o firewall configurá-las permanentemente

firewall-cmd --permanent --direct --passthrough ipv4 -I FORWARD -i bridge0 -j ACCEPT
firewall-cmd --permanent --direct --passthrough ipv4 -I FORWARD -o bridge0 -j ACCEPT
firewall-cmd --reload

Eu gostaria que houvesse uma maneira de obter o mesmo resultado com o firewalld sem alterar diretamente o iptables, mas não consegui encontrar nenhuma solução melhor

    
por 03.11.2015 / 05:33