Вопросы Теги

Миграция с libvirt + iptables на libvirt + nftables

Я собираюсь перенести хост Debian Stretch, используя qemu-kvm, на Debian Buster.

Я видел, как люди жалуются в Интернете на проблемы из-за того, что nftables становится по умолчанию вместо iptables и libvirt, использующих правила iptables. Правила, автоматически написанные libvirt, не понимаются nftables.

Я могу вернуться к iptablesпосле обновления, если это необходимо:

# update-alternatives --set iptables /usr/sbin/iptables-legacy
# update-alternatives --set ip6tables /usr/sbin/ip6tables-legacy
# update-alternatives --set arptables /usr/sbin/arptables-legacy
# update-alternatives --set ebtables /usr/sbin/ebtables-legacy

Будет ли этого достаточно для запуска моей системы?

Из документациии этого комментария GHподдержка firewalld была добавлена ​​в libvirt 5.1.0. И мне неясно, является ли минимальная версия firewalld, необходимая для работы всего этого, 0.6.0 или 0.7.0.

Вот версии, поставляемые Debian:

firewalld

  • stretch 0.4.4.2-1
  • buster 0.6.3-5
  • bullseye 0.7.2-1

libvirt-daemon

  • ] stretch 3.0.0-4+deb9u4
  • buster 5.0.0-4
  • яблочко 5.6.0-2

Так что я думаю, что в яблочко все должно быть хорошо. Кроме существующих правил.

Подходит ли следующий план?

  • Перейдите на Buster и придерживайтесь iptables, используя описанный выше трюк update-alternatives.

  • Когда Bullseye выйдет, мигрируйте и пока придерживайтесь iptables.

  • Перевести правила вручнуюи позже перейти на nftables.

Редактировать:

/etc/network/interfaces

# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

source /etc/network/interfaces.d/*

# The loopback network interface
auto lo
iface lo inet loopback

# Local network
auto eth0
iface eth0 inet manual

auto br0
iface br0 inet static
    bridge_ports eth0
    bridge_maxwait 0
    address 192.168.10.27
    netmask 255.255.255.0
    gateway 192.168.10.1
    dns-nameservers 192.168.10.8 192.168.1.9 8.8.8.8
    dns-domain my_domain.local
    dns-search my_domain.local

# External network
auto eth1
iface eth1 inet manual

auto br1
iface br1 inet manual
    bridge_ports eth1
    bridge_maxwait 0
0
задан 4 December 2019 в 17:45
1 ответ

Стратегия, которую я выбрал для этого, заключается в переносе правил фильтрации, используемых для виртуальных машин, из nftables в правила nwfilter libvirt. В результате libvirt управляет фильтрами iptables. По сути, это переход с nftables на iptables, но я надеюсь, что libvirt поддержит более позднюю миграцию на nftables.

Документация здесь:https://libvirt.org/formatnwfilter.html

0
ответ дан 27 October 2021 в 09:14

Теги

Похожие вопросы