Você pode criar sua própria rede NAT, o que significa que a libvirt não adicionará nenhuma regra de firewall. Veja a rede baseada em NAT personalizada neste libvirt Networking Handbook .
libvirt e filtragem de rede com substituições nat - iptables
1
Primeiro, eu quero dizer: eu sei, foi feito inicialmente errado e eu quero evitar fazer tudo novamente a partir do zero por causa do tempo de inatividade geral.
Estou executando o libvirt / KVM no RHEL. Eu tenho VM que é executado com o perfil de rede NAT (padrão). Eu configurei o encaminhamento de porta etc do host via sysconfig / iptables, está tudo bem.
Mas se o daemon libvird for recarregado por alguma razão interna, ou receber SIGHUP - ele recarrega a configuração do iptables e adiciona regras de seus perfis de filtragem , por exemplo. tudo funciona como projetado e documentado ( libvirt e firewall + documentação do libvirt nwfilter ) - não há problema com o SW, isso é problema de configuração.
Mas algumas regras introduzem REJECT s antes de eu precisar e não consigo me conectar à máquina por meio de portas encaminhadas, como visto abaixo:
depois de executar service iptables restart - tudo funcionará como antes.
Existe uma maneira de forçar o libvirt a alterar a ordem desses dois ou desabilitar estes em particular?
Talvez alguém tenha enfrentado exatamente o mesmo problema e tenha a resposta pronta.
Obrigado
por GioMac
08.01.2014 / 15:48
2 respostas
2
Eu sinto sua dor. Eu realmente queria que o libvirt suportasse isso melhor.
Você precisa criar um script que inclua as regras de firewall de encaminhamento de porta para seu convidado. Certifique-se de usar iptables -I para que suas regras sejam inseridas antes da regra REJECT da libvirt.
Você precisa usar ganchos para executar esse script sempre que o libvirt for iniciado ou for recarregado.
Além disso, você deve se certificar de que as regras para o libvirt e seu redirecionamento de portas não sejam salvos em / etc / sysconfig / iptables . Deixe o libvirt e o seu hook configurá-los.
por
08.01.2014 / 21:47