Le 21 janvier 2025 Sébastien NOBILI a écrit : >> 1. Comment comprendre la remarque ci-dessus "# Warning: table ip >> filter is managed by iptables-nft, do not touch!" ? > > Ça signifie que si tu crées un fichier de conf. pour nftables qui ajoute > des règles à cette table (ou si tu scriptes des ajouts à cette table), > alors tu t'exposes à la disparition de tes règles quand l'intégration > libvirt aura besoin de vider les règles de cette table. > >> 2. Comment puis-je intégrer en toute sécurité, mes propres règles de >> firewalling ? > > Soit en modifiant directement le fichier /etc/nftables.conf pour y ajouter > tes règles, soit en le modifiant pour ajouter la ligne suivante, te permettant > ensuite de créer tes propres règles dans des fichiers séparés : > > "include "nftables.d/*"
Je n'en suis pas sûr. iptables-nft est un outil du paquet iptables qui ,je crois, fait une passerelle de iptables vers nftables, traduisant les règles iptables en règles nftables consultables avec la commande nft. Des règles iptables utilisées par libvirt doivent sans doute exister quelque part. /etc/nftables.conf est un fichier chargé au boot par le service nftables.service (/lib/systemd/system/nftables.service) du paquet nftables. Et donc je pense qu'il vaut mieux ne pas l'utiliser si libvirt utilise un autre fichier de configuration. Je ne connais pas libvirt mais il y a peut-être moyen de le faire utiliser nftables au lieu d'iptables, et de préciser un fichier de configuration.
