Path: ...!2.eu.feeder.erje.net!feeder.erje.net!weretis.net!feeder8.news.weretis.net!proxad.net!feeder1-2.proxad.net!usenet-fr.net!.POSTED!not-for-mail
From: Erwan David <erwan@rail.eu.org>
Newsgroups: fr.comp.os.linux.configuration
Subject: libvirt et nftables
Date: Wed, 29 Jan 2025 10:33:39 +0100
Organization: There's no cabale
Lines: 36
Message-ID: <87frl2arrg.fsf@maine-ocean.rail.eu.org>
NNTP-Posting-Host: 2a01:e0a:2b7:70e4:395d:2d8f:bbe9:3a1
Mime-Version: 1.0
Content-Type: text/plain; charset=utf-8
Content-Transfer-Encoding: 8bit
X-Trace: cabale.usenet-fr.net 1738143219 28231 2a01:e0a:2b7:70e4:395d:2d8f:bbe9:3a1 (29 Jan 2025 09:33:39 GMT)
X-Complaints-To: abuse@usenet-fr.net
NNTP-Posting-Date: Wed, 29 Jan 2025 09:33:39 +0000 (UTC)
User-Agent: Gnus/5.13 (Gnus v5.13)
Mail-Copies-To: nobody
Cancel-Lock: sha1:yComnlopYHXwM6BR8rzTzr61Ra0=
Bytes: 1876


J'essaye de passer à libvirt au lieu de virtualbox et le réseau ne
marche pas, visiblement au niveau du nftable. (debian testing)

J'ai sur l'hôte une configuration nftable simple

#!/usr/sbin/nft -f

flush ruleset

table inet filter {
	chain input {
		type filter hook input priority filter;
		policy drop
#                (quelques inputs autorisés quand même)
	}
	chain forward {
		type filter hook forward priority filter;
		policy drop
	}
	chain output {
		type filter hook output priority filter;
		policy accept
	}
}

Quand je veux utiliser libvirt, il m'ajoute des chaines
INPUT/FORWARD/OUTPUT/NAT mais dans une table ip filter
(pas inet filtter comme moi) avec un warning)
# Warning: table ip filter is managed by iptables-nft, do not touch!

Donc : est-ce que je suis obligé de retoruner à iptables au lieu de
nftables ? Un moyen de changer ça côté libvirt ?

-- 
Les simplifications c'est trop compliqué