Question Configurer FirewallD pour autoriser l'accès réseau à la machine virtuelle pontée


J'ai un invité Windows exécuté sur une machine virtuelle QEMU / KVM de virt-manager.

Mon NIC primaire eno1 est dans un pont br1 qui est configuré avec la configuration de l'adresse IP de l'hôte. Cette VM est connectée audit pont.

Mon pare-feu hôte est dans sa configuration par défaut: Zone par défaut: FedoraWorkstation

Si j'arrête firewalld (et iptables affiche des règles de pare-feu vides), l'invité fonctionne correctement. Sans arrêter le pare-feu, mon invité ne peut pas communiquer avec le réseau externe. (Il peut faire un ping, mais pas faire des requêtes DNS, ou des connexions TCP.)

Comment configurer le pare-feu pour permettre un accès complet à l'invité?


Ce post sur le forum suggéré le script Bash suivant en utilisant iptables:

#!/bin/sh

# If I put bridge0 in trusted zone then firewalld allows anything from 
# bridge0 on both INPUT and FORWARD chains !
# So, I've put bridge0 back into the default public zone, and this script 
# adds rules to allow anything to and from bridge0 to be FORWARDed but not INPUT.

BRIDGE=bridge0
iptables -I FORWARD -i $BRIDGE -j ACCEPT
iptables -I FORWARD -o $BRIDGE -j ACCEPT

J'ai confirmé que cela fonctionne, mais je cherche à configurer de manière permanente mon pare-feu pour obtenir ce comportement. Idéalement, cela se ferait avec le Pare-feu outils.


4
2017-10-23 14:46


origine




Réponses:


J'avais le même problème. et après avoir creusé autour trouvé que firewalld a liaison directe à iptables 

donc en utilisant vous pouvez utiliser les mêmes règles avancées que vous aviez dans votre script, mais laissez firewalld les configurer de manière permanente

firewall-cmd --permanent --direct --passthrough ipv4 -I FORWARD -i bridge0 -j ACCEPT
firewall-cmd --permanent --direct --passthrough ipv4 -I FORWARD -o bridge0 -j ACCEPT
firewall-cmd --reload

Je souhaite qu'il y ait un moyen d'obtenir le même résultat avec firewalld sans changer directement iptables mais je n'ai pas trouvé de meilleure solution


9
2017-11-03 04:33



J'aimerais pouvoir voter à nouveau à ce sujet. Après une mise à niveau de Fedora 24 vers Fedora 25, j'ai constaté que ces paramètres avaient été perdus. Merci encore. - Jonathon Reinhart
@JonathonReinhart :-) Il y a quelques mois, j'ai installé une nouvelle machine et j'ai eu le même problème sur le web et je suis arrivé ici :-D Quoi qu'il en soit, merci. Vous avez trouvé la plus grande partie de la solution à laquelle je participais était très petite - Yoni Jah