logo Debian Debian Debian-France Debian-Facile Debian-fr.org Forum-Debian.fr Debian ? Communautés logo inclusivité

Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 24-07-2013 20:35:30

Cody082
Membre
Distrib. : Wheezy
Noyau : 3.2.0-4-amd64
Inscription : 24-04-2009

Question sur iptables avec QEMU/KVM

Bonsoir à tous,

Je me permets de vous contacter afin d'éclaircir une petite question que je me pose avec iptables.

Tout d'abord, il me parait judicieux de vous présenter ce que je veux réaliser.

Alors, j'aimerais réaliser des machines virtuelles avec qemu-kvm en pouvant y accéder depuis le réseau. Pour ce faire, j'ai une station avec plusieurs carte réseau, avec une interface "eth0" en principale, et j'ai créé un pont réseau se nommant "br0". Tout fonctionne correctement, mais je viens de regarder de plus près à mes règles iptables, et en mettant le mode forward à drop, je n'arrive plus à accéder à Internet avec mes machines. J'ai bien trouvé la solution pour réactiver la connexion avec la règle suivante : iptables -t filter -A FORWARD -i br0 -j ACCEPT.

Cependant, je ne comprend pas l'obligation d'écrire cette règle pour "router" les paquets vers l'interface br0, sachant que c'est une interface physique, que je pense que cela devrait se passer en input comme la connexion "eth0", non ?

Merci d'avance du regard que vous porterez à ma demande.


Cody082

Dernière modification par Cody082 (25-07-2013 12:33:53)

Hors ligne

#2 25-07-2013 05:56:25

gKsam
Membre
Lieu : LAON
Distrib. : Debian 8 (jessie)
(G)UI : XFCE
Inscription : 06-08-2010

Re : Question sur iptables avec QEMU/KVM

salut,


Cependant, je ne comprend pas l'obligation d'écrire cette règle pour "router" les paquets vers l'interface br0, sachant que c'est une interface physique




Non l'interface br0 que tu as créé est virtuelle. J'utilise aussi la virtualisation avec qemu-kvm. Normalement l'interface virtuelle est créée à l'installation et se nomme virtbr0.


virt-manager te le montre bien car il y a un onglet "réseaux virtuels".


pourquoi faire compliqué quand faire simple paraît plus compliqué.

Hors ligne

#3 25-07-2013 11:53:44

Cody082
Membre
Distrib. : Wheezy
Noyau : 3.2.0-4-amd64
Inscription : 24-04-2009

Re : Question sur iptables avec QEMU/KVM

Bonjour gKsam,

Merci pour ta réponse.

Je crois comprendre ! "br0" est une interface virtuelle que se sert de eth1 (interface physique), et eth0 est mon interface physique principale. Donc pour résumer, on peut dire que :
- Pour des paquets arrivant sur eth0 (interface physique) --> cela se passe sur la partie INPUT d'iptables
- Pour des paquets arrivant sur br0 (interface virtuelle) pointant sur eth1 (interface physique) --> cela se passe sur la partie FORWARD d'iptables

C'est bien ça ?

Hors ligne

#4 25-07-2013 13:42:50

gKsam
Membre
Lieu : LAON
Distrib. : Debian 8 (jessie)
(G)UI : XFCE
Inscription : 06-08-2010

Re : Question sur iptables avec QEMU/KVM

C'est un peu ça. wink

iptables n'est pas la chose la plus facile et là je pense que tu t'es un peu compliqué la tâche en utilisant les deux cartes réseau de ta machine.

pour tester, accept tout... je me demande aussi si tes machines virtuelles sont dans la même plage d'addresse réseau que les machines qui seront clientes...

bref, je suis comme toi un peu perdu dans tes choix... et quand ça devient compliqué c'est que ça va être le bordel à faire marcher.

pourquoi faire compliqué quand faire simple paraît plus compliqué.

Hors ligne

#5 25-07-2013 18:38:02

Cody082
Membre
Distrib. : Wheezy
Noyau : 3.2.0-4-amd64
Inscription : 24-04-2009

Re : Question sur iptables avec QEMU/KVM

OK OK

En revanche, je vais t'expliquer pourquoi j'ai décidé d'utiliser une 2ème carte réseau. Je veux faire une machine virtuelle qui me permettra de télécharger des fichiers à partir d'un FTP avec la fibre (ma ligne sera active lundi big_smile cool). Donc, je ne voulais pas encombré ma première carte réseau avec tous ces paquets, car j'utilise l'interface "eth0" pour du samba, ssh, minidlna,... Je ne sais pas si c'était la meilleure solution, mais je l'ai trouvé assez intéressante dans le principe se séparer ces 2 domaines.

Hors ligne

#6 26-07-2013 05:35:50

gKsam
Membre
Lieu : LAON
Distrib. : Debian 8 (jessie)
(G)UI : XFCE
Inscription : 06-08-2010

Re : Question sur iptables avec QEMU/KVM

et vice et versa...

Tu as aussi le bonding que j'avais essayé de mettre en place fut un temps... mais le temps m'avais rattrapé et je n'avais pas eu le temps de finir. sad

Je compare ça au système RAID pour disque-dur.

pourquoi faire compliqué quand faire simple paraît plus compliqué.

Hors ligne

#7 26-07-2013 11:29:11

Cody082
Membre
Distrib. : Wheezy
Noyau : 3.2.0-4-amd64
Inscription : 24-04-2009

Re : Question sur iptables avec QEMU/KVM

Bonjour,

Je ne connaissais pas le bonding, et effectivement, cela aurait pu m’intéresser également pour ce que je voulais faire. Je me le note dans un coin, car je pense que dans une entreprise, cela peut-être hyper intéressant ! Merci pour l'info wink

Enfin, pour conclure sur le sujet, j'aimerai que tu me certifies encore quelques petites choses avec iptables et la partie forward.

Afin que mes VM fonctionnent correctement, il faut bien que j'ajoute ces 2 règles :
- iptables -t filter -A FORWARD -i br0 -j ACCEPT (pour l'input)
- iptables -t filter -A FORWARD -o br0 -j ACCEPT (pour l'output)

Ainsi que la mise en place la sécurité sur les VM.

Hors ligne

#8 26-07-2013 11:52:55

gKsam
Membre
Lieu : LAON
Distrib. : Debian 8 (jessie)
(G)UI : XFCE
Inscription : 06-08-2010

Re : Question sur iptables avec QEMU/KVM

à vu de nez, je dirais oui.

de toute façon, un ping dans un sens et un ping dans l'autre sens et si ça passe c'est que c'est bon.

pourquoi faire compliqué quand faire simple paraît plus compliqué.

Hors ligne

#9 26-07-2013 11:56:38

Cody082
Membre
Distrib. : Wheezy
Noyau : 3.2.0-4-amd64
Inscription : 24-04-2009

Re : Question sur iptables avec QEMU/KVM

OK, effectivement, un ping devrait répondre à mes interrogations. Si je te pose la question, c'est que j'ai peur de transformer mon firewall en passoire... Je préférais avoir un regard neuf à la problématique.

Hors ligne

#10 26-07-2013 13:26:39

gKsam
Membre
Lieu : LAON
Distrib. : Debian 8 (jessie)
(G)UI : XFCE
Inscription : 06-08-2010

Re : Question sur iptables avec QEMU/KVM

Je ne suis pas le plus doué avec iptables. wink


j'ai d'ailleurs prévu d'y regarder de vraiment plus prêt vu qu'en ce moment j'ai pas mal de temps.

pourquoi faire compliqué quand faire simple paraît plus compliqué.

Hors ligne

#11 04-10-2013 08:06:49

plegrand
Membre
Distrib. : Debian SID
Noyau : Linux 5.17.0-2-amd64
(G)UI : Gnome
Inscription : 25-09-2013

Re : Question sur iptables avec QEMU/KVM

En ce qui me concerne, voilà ce que j'ai fait sur la machine hote pour éviter les soucis d'iptables :

Désactiver netfilter sur le bridge
Si l’on souhaite que les règles iptables n'examinent pas les paquets IP encapsulés dans les trames ethernet qui traversent un pont (fonction bridge-nf), il suffit de mettre le paramètre du noyau
/proc/sys/net/bridge/bridge-nf-call-iptables à 0.


echo "0" >/proc/sys/net/bridge/bridge-nf-call-iptables
Pour que ce règlage soit conservé au reboot, ajouter cette ligne au fichier « /etc/sysctl.conf » :
net.bridge.bridge-nf-call-iptables = 0
Pour que cette ligne soit prise en compte :
sysctl -p /etc/sysctl.conf
Cette solution ne suffit pas.
Pour être sur que cette variable soit correctement initialisée, il  vaut mieux rajouter  (avant le "exit 0") dans /etc/rc.local : "/etc/init.d/procps restart "
Comme /etc/rc.local est éxécuté à la fin de la séquence de boot, le fichier /etc/sysctl.conf est relu  et les variables (dont /proc/sys/net/bridge/bridge-nf-call-iptables) sont donc fixées comme il faut.

En espérant que ce soit clair

Dernière modification par plegrand (04-10-2013 08:07:04)

Hors ligne

Pied de page des forums