{{tag>Brouillon Réseau Sécurité Redhat Virt}}

= Libvirt firewalld firewall-cmd iptables


Voir **Firewalld Lockdown**

Voir :
* https://libvirt.org/firewall.html
* https://ask.fedoraproject.org/en/question/41441/how-to-port-forwarding-requests-coming-into-a-kvm-host-say-kvmhost-to-one-of-its-guests-say-kvmguest01/
* https://www.centos.org/forums/viewtopic.php?t=49095
* https://bugzilla.redhat.com/show_bug.cgi?id=1079088

Voir aussi :
* [[Firewall iptables shorewall firewalld firewall-cmd ufw ipset]]

A la place de la ligne iptables commentée ci-dessus, j'essaye **firewall-cmd**
<code bash>
#iptables -t nat -I PREROUTING -p tcp -d 172.18.98.74 --dport 64001  -j DNAT --to-destination 192.168.122.95:22
firewall-cmd --zone=public --add-masquerade
firewall-cmd --add-forward-port=port=64001:proto=tcp:toport=22:toaddr=192.168.122.95
</code>

Mais ça n'est pas suffisant.

Note : **iptables est remplacé maintenant par [[nftables_un_remplacant_d_iptables|nftables]]**

Pour que ca marche, j'ai je choix entre :
<code bash>
iptables -I FORWARD -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
</code>

ou 

<code bash>
iptables -D FORWARD -o virbr0 -j REJECT --reject-with icmp-port-unreachable
</code>

ou mieux

<code bash>
#firewall-cmd --direct --passthrough ipv4 -D FORWARD -o virbr0 -j REJECT --reject-with icmp-port-unreachable
firewall-cmd --direct --passthrough ipv4 -I FORWARD -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
</code>