Ab Ubuntu 17.10 kommt netplan als Netzwerk-Konfigurations-Tool zum Einsatz. Damit lassen sich die iptables rules nicht mehr mit Skripten in /etc/network/if-up bzw. if-down setzen. Derzeit ist dei einzige Möglichkeit, die ich gefunden habe, sie persistent zu machen, das Paket iptables-persistent zu nutzen. Eine ungefähre Anleitung gibt es hier: https://www.thomas-krenn.com/en/wiki/Saving_Iptables_Firewall_Rules_Permanently#iptables-persistent_for_Debian.2FUbuntu
kvm bzw. libvirt fügen ganz am Anfang der INPUT-chain 4 Regeln ein, die den Zugang zum internen DHCP-Server von libvirt ermöglichen:
Chain INPUT (policy DROP) target prot opt source destination ACCEPT udp -- anywhere anywhere udp dpt:domain ACCEPT tcp -- anywhere anywhere tcp dpt:domain ACCEPT udp -- anywhere anywhere udp dpt:bootps ACCEPT tcp -- anywhere anywhere tcp dpt:bootps
Schaut man sie sich so mit
iptables -L
an, sehen sie etwas erschreckend aus, da sie anscheinend alles durchlassen. Mit
iptables -L -v
werden auch die Geräte angezeigt, und hier sieht man dann, dass die Regeln auf die virtuelle Netzwerkkarte von libvirt eingeschränkt ist:
0 0 ACCEPT udp -- virbr0 any anywhere anywhere udp dpt:domain
0 0 ACCEPT tcp -- virbr0 any anywhere anywhere tcp dpt:domain
0 0 ACCEPT udp -- virbr0 any anywhere anywhere udp dpt:bootps
0 0 ACCEPT tcp -- virbr0 any anywhere anywhere tcp dpt:bootps