Bonjour,
Le 2025-01-21 18:36, Michel Verdier a écrit :
Je n'en suis pas sûr. iptables-nft est un outil du paquet iptables qui
,je
crois, fait une passerelle de iptables vers nftables, traduisant les
règles
iptables en règles nftables consultables avec la commande nft. Des
règles
iptables utilisées par libvirt doivent sans doute exister quelque part.
/etc/nftables.conf est un fichier chargé au boot par le service
nftables.service (/lib/systemd/system/nftables.service) du paquet
nftables. Et donc je pense qu'il vaut mieux ne pas l'utiliser si
libvirt
utilise un autre fichier de configuration.
nftables (comme iptables d'ailleurs) est conçu pour recevoir des
modifications
de configuration à la volée. Donc, si l'intégration libvirt / iptables /
nftables
a été bien faite, les règles dynamiques de libvirt ne devraient pas
écraser les
règles par défaut.
Quelque chose m'échappe ?
En revanche, si les règles de filtrage doivent inclure un référence à
l'IP ou
l'interface virtuelle créées par libvirt au démarrage de la VM, alors il
est
possible que le chargement des règles nftables au démarrage échoue.
Sébastien
