В прошлом у меня был гипервизор, настроенный с libvirt / KVM и IPtables, чтобы виртуальные машины были доступны через NAT на IPv4 (пересылка и маскировка в iptables) и непосредственно на IPv6 (маршрутизируемая сеть, настроенная в libvirt), согласно этот сборник руководств (Пример 1).
Поскольку я хотел переключиться на CentOS 7, которая теперь поставляется с firewalld по умолчанию, я подумал, что было бы разумно использовать firewalld вместо iptables.
Могу ли я использовать firewalld в качестве «замены» для этой цели, или существуют ограничения или проблемы с libvirt?
При запуске libvirtd автоматически проверяет, доступен ли firewalld. Если он запущен, libvirtd будет использовать API-интерфейсы firewalld DBus вместо прямого запуска iptables. Итак, это с точки зрения обзора: все, что libvirt делает с правилами брандмауэра, должно продолжать «просто работать», если у вас включен firewalld.
Если вы добавляете собственные правила брандмауэра самостоятельно, отдельно от тех, которые добавляет libvirtd, вы можете использовать Параметр firewall-cmd --direct
, который, по сути, разрешает прямой сквозной режим - почти все параметры, которые вы использовали бы с командой iptables
, действительны для firewall-cmd --direct