1. Forum
  2. Usenet
  3. LINUX.DEBIAN.USER.FRENCH

  • =?UTF-8?Q?Re=3A_Configurer_le_firewall_d=27un_h=C3=B4te_libvirt/?= =?UT

    From =?UTF-8?Q?S=C3=A9bastien_NOBILI?=@21:1/5 to All on Tue Jan 21 17:10:01 2025
    Bonjour,

    (je n'utilise pas libvirt, j'apporte donc une vision purement nftables)

    Le 2025-01-21 16:14, Olivier a écrit :
    1. Comment comprendre la remarque ci-dessus "# Warning: table ip
    filter is managed by iptables-nft, do not touch!" ?

    Ça signifie que si tu crées un fichier de conf. pour nftables qui ajoute
    des règles à cette table (ou si tu scriptes des ajouts à cette table),
    alors tu t'exposes à la disparition de tes règles quand l'intégration libvirt aura besoin de vider les règles de cette table.

    2. Comment puis-je intégrer en toute sécurité, mes propres règles de firewalling ?

    Soit en modifiant directement le fichier /etc/nftables.conf pour y
    ajouter
    tes règles, soit en le modifiant pour ajouter la ligne suivante, te
    permettant
    ensuite de créer tes propres règles dans des fichiers séparés :

    "include "nftables.d/*"

    Pour mettre en place ma conf. je me suis basé sur le wiki de nftables
    [1].
    Mes chaînes et mes règles sont dans une table que j'ai nommée
    "firewall".

    1: https://wiki.nftables.org/wiki-nftables/index.php/Configuring_chains

    Sébastien

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)
  • From Michel Verdier@21:1/5 to All on Tue Jan 21 18:40:01 2025
    Le 21 janvier 2025 Sébastien NOBILI a écrit :

    1. Comment comprendre la remarque ci-dessus "# Warning: table ip
    filter is managed by iptables-nft, do not touch!" ?

    Ça signifie que si tu crées un fichier de conf. pour nftables qui ajoute des règles à cette table (ou si tu scriptes des ajouts à cette table), alors tu t'exposes à la disparition de tes règles quand l'intégration libvirt aura besoin de vider les règles de cette table.

    2. Comment puis-je intégrer en toute sécurité, mes propres règles de
    firewalling ?

    Soit en modifiant directement le fichier /etc/nftables.conf pour y ajouter tes règles, soit en le modifiant pour ajouter la ligne suivante, te permettant
    ensuite de créer tes propres règles dans des fichiers séparés :

    "include "nftables.d/*"

    Je n'en suis pas sûr. iptables-nft est un outil du paquet iptables qui ,je crois, fait une passerelle de iptables vers nftables, traduisant les règles iptables en règles nftables consultables avec la commande nft. Des règles iptables utilisées par libvirt doivent sans doute exister quelque part.

    /etc/nftables.conf est un fichier chargé au boot par le service nftables.service (/lib/systemd/system/nftables.service) du paquet
    nftables. Et donc je pense qu'il vaut mieux ne pas l'utiliser si libvirt utilise un autre fichier de configuration.

    Je ne connais pas libvirt mais il y a peut-être moyen de le faire
    utiliser nftables au lieu d'iptables, et de préciser un fichier de configuration.

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)
  • From =?UTF-8?Q?S=C3=A9bastien_NOBILI?=@21:1/5 to All on Wed Jan 22 09:00:01 2025
    Bonjour,

    Le 2025-01-21 18:36, Michel Verdier a écrit :
    Je n'en suis pas sûr. iptables-nft est un outil du paquet iptables qui
    ,je
    crois, fait une passerelle de iptables vers nftables, traduisant les
    règles
    iptables en règles nftables consultables avec la commande nft. Des
    règles
    iptables utilisées par libvirt doivent sans doute exister quelque part.

    /etc/nftables.conf est un fichier chargé au boot par le service nftables.service (/lib/systemd/system/nftables.service) du paquet
    nftables. Et donc je pense qu'il vaut mieux ne pas l'utiliser si
    libvirt
    utilise un autre fichier de configuration.

    nftables (comme iptables d'ailleurs) est conçu pour recevoir des
    modifications
    de configuration à la volée. Donc, si l'intégration libvirt / iptables / nftables
    a été bien faite, les règles dynamiques de libvirt ne devraient pas
    écraser les
    règles par défaut.

    Quelque chose m'échappe ?

    En revanche, si les règles de filtrage doivent inclure un référence à
    l'IP ou
    l'interface virtuelle créées par libvirt au démarrage de la VM, alors il
    est
    possible que le chargement des règles nftables au démarrage échoue.

    Sébastien

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)
  • From =?UTF-8?Q?S=C3=A9bastien_NOBILI?=@21:1/5 to All on Wed Jan 22 12:30:01 2025
    Le 2025-01-22 11:07, Olivier a écrit :
    Là, c'est probablement le daemon libvirtd qui active ces règles mais
    je n'en suis pas sûr et je n'arrive pas à comprendre comment il le
    fait.

    Il y a ce paquet : https://packages.debian.org/bookworm/libvirt-daemon-config-nwfilter

    Est-ce que les règles que tu recherches ne seraient pas générées à
    partir
    de ces fichiers XML ?

    (Le paquet ne fournit pas de script, donc la génération se fait
    ailleurs…)

    Sébastien

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)