Configurez le pare-feu pour permettre l'accès au réseau de la machine virtuelle ponte
J'ai une invité Windows en cours d'exécution sur une machine virtuelle QEMU/KVM Vir-Manager.
Mon principal NIC eno1 est dans un pont br1 qui est configuré avec la configuration de mon adresse IP hôte. Ceci VM est connecté audit pont.
Mon hôte Firewall est dans sa configuration par défaut: Zone par défaut: Fedoraworkstation
Si j'arrête firewalld (et iptables montre des règles de pare-feu vides), l'invité fonctionne correctement. Sans arrêter le pare-feu, mon invité ne peut pas communiquer avec le réseau externe. (Il peut ping, mais ne pas faire des demandes DNS, ou TCP Connections.)
Comment configurer le pare-feu pour permettre un accès complet à l'invité?
Ce post du forum suggéré le script Bash suivant à l'aide de iptables:
#!/bin/sh
# If I put bridge0 in trusted zone then firewalld allows anything from
# bridge0 on both INPUT and FORWARD chains !
# So, I've put bridge0 back into the default public zone, and this script
# adds rules to allow anything to and from bridge0 to be FORWARDed but not INPUT.
BRIDGE=bridge0
iptables -I FORWARD -i $BRIDGE -j ACCEPT
iptables -I FORWARD -o $BRIDGE -j ACCEPT
J'ai confirmé que cela fonctionne, mais je cherche à configurer définitivement mon pare-feu pour atteindre ce comportement. Idéalement, cela serait fait avec les outils intégrés Firewalld .
J'avais le même problème. et après avoir creusé montré que le pare-feu a passtthrough direct à iptables
ainsi, utilisez vous pouvez utiliser les mêmes règles à terme que vous avez eues dans votre script, mais laissez le pare-feu les mettre en permanence
firewall-cmd --permanent --direct --passthrough ipv4 -I FORWARD -i bridge0 -j ACCEPT
firewall-cmd --permanent --direct --passthrough ipv4 -I FORWARD -o bridge0 -j ACCEPT
firewall-cmd --reload
J'aimerais qu'il y ait un moyen d'obtenir le même résultat avec le pare-feu sans changer directement d'iptables mais je n'ai pas trouvé de meilleure solution