Problemas con libvirt al intentar hacer "Port Forwarding" a un "Guest"
10 views
Skip to first unread message
Carlos Javier Borroto
May 21, 2010, 12:58:34 PM5/21/10
to linux-l
Disculpen la mezcla con terminos del ingles, pero pense que si los
traduzco puede que sea mas dificil de explicar lo que me pasa.
Resulta que estoy tratando de utilizar libvirt con qemu en Ubuntu
Karmic para mis maquinas virtuales, por primera vez tengo acceso a una
pc con VT en el CPU. Pero me esta sucediendo algo un poco molesto,
estoy usando "NAT networking" para mis "virtuals guests", aunque
tambien probe con "routed", y resulta que libvirt cuando levanta estas
redes incluye reglas al inicio de la cadena "FORWARD" en iptables que
me estan impidiendo hacer "Port Forwarding"
Esto es lo que saco con iptables-save:
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -i virbr0 -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -i virbr0 -p tcp -m tcp --dport 53 -j ACCEPT
-A INPUT -i virbr0 -p udp -m udp --dport 67 -j ACCEPT
-A INPUT -i virbr0 -p tcp -m tcp --dport 67 -j ACCEPT
-A FORWARD -d 192.168.122.0/24 -o virbr0 -m state --state
RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 192.168.122.0/24 -i virbr0 -j ACCEPT
-A FORWARD -i virbr0 -o virbr0 -j ACCEPT
-A FORWARD -o virbr0 -j REJECT --reject-with icmp-port-unreachable
-A FORWARD -i virbr0 -j REJECT --reject-with icmp-port-unreachable
COMMIT
La configuracion para "Port Forwarding" la estoy haciendo con ufw,
pero libvirt siempre inserta estas reglas al inicio de las cadenas
"INPUT" y "FORWARD". He buscado muchisimo online y para mi sorpresa
aunque hay otros con el mismo dilema, pues la unica respuesta que he
encontrado ha sido usar "bridged networking" lo cual no es una opcion
para mi, pues mi ISP solo me da un IP, esto es un proyecto casero asi
que tengo un solo server en la DMZ de mi modem con mi unica IP
publica, para poder hacer uso de "bridged" tendria que pasar mi "host"
para dentro de mi LAN y luego hacer el "Port Forwarding" en mi modem,
pero no quiero hacer esto, el modem que tengo ya me esta dando
suficientes dolores de cabezas por las pocas disponibilidades que
tiene.
Me parece muy extranno que los desarrolladores de libvirt no hayan
pensado en la posibilidad de que alguien usando "nat" o "routed"
deseara hacer "Port Forwarding", a mi me da lo mismo si la opcion es
desactivar el hecho de que libvirt aplique reglas al iptables en lo
absoluto, yo puedo manejar la configuracion de iptables directamente o
utilizar un metodo a traves de la configuracion livbirt para permitir
"FORWARD" a puertos en especifico.
Alguien ha sido mordido por este perro y me puede dar un consejo?
slds
PD: Por ahora estoy resolviendo haciendo un 'sudo /lib/ufw/ufw-init
flush-all' y luego 'sudo ufw enable', tengo todas las reglas que
necesito en ufw.
--
Carlos Javier Borroto
Baltimore, MD
Google Voice: (410) 929 4020
--
Has recibido este mensaje porque estás suscrito al grupo "linux-l" de Grupos de Google.
Para publicar una entrada en este grupo, envía un correo electrónico a lin...@googlegroups.com.
Para anular tu suscripción a este grupo, envía un correo electrónico a linux-l+u...@googlegroups.com
Para tener acceso a más opciones, visita el grupo en http://groups.google.com/group/linux-l?hl=es.
traduzco puede que sea mas dificil de explicar lo que me pasa.
Resulta que estoy tratando de utilizar libvirt con qemu en Ubuntu
Karmic para mis maquinas virtuales, por primera vez tengo acceso a una
pc con VT en el CPU. Pero me esta sucediendo algo un poco molesto,
estoy usando "NAT networking" para mis "virtuals guests", aunque
tambien probe con "routed", y resulta que libvirt cuando levanta estas
redes incluye reglas al inicio de la cadena "FORWARD" en iptables que
me estan impidiendo hacer "Port Forwarding"
Esto es lo que saco con iptables-save:
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -i virbr0 -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -i virbr0 -p tcp -m tcp --dport 53 -j ACCEPT
-A INPUT -i virbr0 -p udp -m udp --dport 67 -j ACCEPT
-A INPUT -i virbr0 -p tcp -m tcp --dport 67 -j ACCEPT
-A FORWARD -d 192.168.122.0/24 -o virbr0 -m state --state
RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 192.168.122.0/24 -i virbr0 -j ACCEPT
-A FORWARD -i virbr0 -o virbr0 -j ACCEPT
-A FORWARD -o virbr0 -j REJECT --reject-with icmp-port-unreachable
-A FORWARD -i virbr0 -j REJECT --reject-with icmp-port-unreachable
COMMIT
La configuracion para "Port Forwarding" la estoy haciendo con ufw,
pero libvirt siempre inserta estas reglas al inicio de las cadenas
"INPUT" y "FORWARD". He buscado muchisimo online y para mi sorpresa
aunque hay otros con el mismo dilema, pues la unica respuesta que he
encontrado ha sido usar "bridged networking" lo cual no es una opcion
para mi, pues mi ISP solo me da un IP, esto es un proyecto casero asi
que tengo un solo server en la DMZ de mi modem con mi unica IP
publica, para poder hacer uso de "bridged" tendria que pasar mi "host"
para dentro de mi LAN y luego hacer el "Port Forwarding" en mi modem,
pero no quiero hacer esto, el modem que tengo ya me esta dando
suficientes dolores de cabezas por las pocas disponibilidades que
tiene.
Me parece muy extranno que los desarrolladores de libvirt no hayan
pensado en la posibilidad de que alguien usando "nat" o "routed"
deseara hacer "Port Forwarding", a mi me da lo mismo si la opcion es
desactivar el hecho de que libvirt aplique reglas al iptables en lo
absoluto, yo puedo manejar la configuracion de iptables directamente o
utilizar un metodo a traves de la configuracion livbirt para permitir
"FORWARD" a puertos en especifico.
Alguien ha sido mordido por este perro y me puede dar un consejo?
slds
PD: Por ahora estoy resolviendo haciendo un 'sudo /lib/ufw/ufw-init
flush-all' y luego 'sudo ufw enable', tengo todas las reglas que
necesito en ufw.
--
Carlos Javier Borroto
Baltimore, MD
Google Voice: (410) 929 4020
--
Has recibido este mensaje porque estás suscrito al grupo "linux-l" de Grupos de Google.
Para publicar una entrada en este grupo, envía un correo electrónico a lin...@googlegroups.com.
Para anular tu suscripción a este grupo, envía un correo electrónico a linux-l+u...@googlegroups.com
Para tener acceso a más opciones, visita el grupo en http://groups.google.com/group/linux-l?hl=es.
Reply all
Reply to author
Forward
0 new messages