Transfert de port d'hôte à invité avec libvirt 0.8.3 à l'aide de KVM sur Ubuntu

L'hôte dispose d'une seule adresse IP externe disponible, j'ai donc configuré mes invités KVM avec NAT.

Comment configurer une redirection de port pour transmettre certaines des demandes de l'extérieur aux invités?

Je n'ai trouvé aucune documentation à ce sujet. La réponse la plus proche est probablement cette réponse , mais il est également mentionné qu'il existe un moyen plus facile de le faire dans libvirt 0.8.3. Quelqu'un connaît-il une façon plus actuelle de procéder?

Voici une meilleure façon de configurer la redirection de port, en utilisant un script de raccordement ( source ).

Dans /etc/libvirt/hooks/qemu:

#!/bin/sh

GUEST_NAME=
HOST_PORT=
GUEST_IPADDR=
GUEST_PORT=

if [ "$1" = "$GUEST_NAME" ]; then
  if [ "$2" = start ]; then
    iptables -t nat -A PREROUTING -p tcp --dport "$HOST_PORT" \
         -j DNAT --to "$GUEST_IPADDR:$GUEST_PORT"
    iptables -I FORWARD -d "$GUEST_IPADDR/32" -p tcp -m state \
         --state NEW -m tcp --dport "$GUEST_PORT" -j ACCEPT
  elif [ "$2" = stopped ]; then
    iptables -t nat -D PREROUTING -p tcp --dport "$HOST_PORT" \
         -j DNAT --to "$GUEST_IPADDR:$GUEST_PORT"
    iptables -D FORWARD -d "$GUEST_IPADDR/32" -p tcp -m state \
         --state NEW -m tcp --dport "$GUEST_PORT" -j ACCEPT
  fi
fi

Vous devez définir les quatre variables en haut pour qu'elles correspondent à votre configuration libvirt.

Vous devrez redémarrer libvirt-bin, ce qui se fait sur Ubuntu avec:

sudo sh -c 'service libvirt-bin stop; service libvirt-bin start'

alors vous devrez redémarrer l'invité. Sur Ubuntu, vous devrez vous ajuster /etc/apparmor.d/usr.sbin.libvirtdpour permettre au script hook de s'exécuter:

À côté de

/usr/sbin/* PUx,

ajouter

/etc/libvirt/hooks/* PUx,

Rechargez ensuite l'apparmeur:

sudo service apparmor reload

Il y a probablement un moyen de configurer automatiquement en $GUEST_IPADDRutilisant virsh / dumpxml / iface-dumpxml, mais je ne l'ai pas trouvé. Alternativement, l'IP peut être définie statiquement dans la documentation réseau xml : .

Pour autant que je sache, les filtres réseau ne peuvent être utilisés que pour restreindre ce qui se passe sur le réseau virtuel, et ils ne sont pas utiles pour la redirection de port.

Je suis dans une situation similaire. J'ai un serveur Windows fonctionnant en KVM dans le réseau NAT privé qui est connecté sur l'hôte via l'interface virbr0. Je veux accéder à la machine virtuelle via un bureau distant. Je dois donc transférer le trafic vers le port 3389 (RDP) vers le port VM 3389. J'y suis parvenu avec quelques règles iptables.

/ sbin / iptables -t nat -A PREROUTING -p tcp -d HOST-IP --dport 3389 -j DNAT --to-destination VM-IP: 3389

/ sbin / iptables -I FORWARD -m state -d VM-NET / 24 --state NEW, RELATED, ESTABLISHED -j ACCEPT

HOST-IP, VM-IP et VM-NET doivent bien sûr être adoptés. Cependant, jouer avec iptables et libvirt est délicat. En ce moment, je recherche une solution pour accéder à Internet sur ma machine virtuelle que j'ai perdue en raison des règles iptables :-(

Je crois que la réponse que vous mentionnez montre toujours des règles iptables appropriées. Cependant, vous pouvez désormais utiliser un hook de script pour créer et détruire des règles lorsque les machines virtuelles sont démarrées et arrêtées. Comme Isaac l'a dit dans la réponse précédente, il existe également des filtres réseau dans libvirt actuel, mais je ne sais pas comment ni même s'ils peuvent être utilisés pour ouvrir des ports pour les invités NAT.

comment le réseau invité est-il configuré? s'il est ponté, il vous suffit de transmettre les ports aux adresses IP des invités. Si vos invités sont derrière un autre NAT, celui que libvirt met en place, alors ça se complique

mais dans tous les cas, ici, vous traitez simplement les VM comme vous le feriez pour une machine physique