从libvirt +iptable迁移到libvirt +nftable

Question

我即将使用qemu将Debian扩展主机迁移到Debian。

我看到人们在互联网上抱怨由于nftable变成默认的问题，而不是iptables和libvirt使用iptables规则。由libvirt自动编写的规则不为nftable所理解。

如果需要的话，升级后我可以移回iptables：

# update-alternatives --set iptables /usr/sbin/iptables-legacy
# update-alternatives --set ip6tables /usr/sbin/ip6tables-legacy
# update-alternatives --set arptables /usr/sbin/arptables-legacy
# update-alternatives --set ebtables /usr/sbin/ebtables-legacy

这足以让我的系统运行吗？

在libvirt5.1.0中添加了来自医生们和这是GH的评论的firewalld支持。我不清楚整个工作所需的最低的firewalld版本是0.6.0还是0.7.0。

以下是Debian提供的版本：

火瓦尔德

• 伸展0.4.4.2-1
• buster 0.6.3-5
• 斗牛0.7.2-1

libvirt-守护进程

• 伸展3.0.0-4+借方9u4
• buster 5.0.0-4
• 斗牛5.6.0-2

所以我想在斗牛场一切都会好起来的。除了现有的规则。

下面的计划是可行的吗？

• 使用上面的update-alternatives技巧迁移到Buster并坚持使用iptable。
• 当Bullseye外出时，暂时迁移并坚持使用iptable。
• 手动翻译规则并在以后迁移到nftable。

编辑：

/etc/网络/接口

# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

source /etc/network/interfaces.d/*

# The loopback network interface
auto lo
iface lo inet loopback

# Local network
auto eth0
iface eth0 inet manual

auto br0
iface br0 inet static
    bridge_ports eth0
    bridge_maxwait 0
    address 192.168.10.27
    netmask 255.255.255.0
    gateway 192.168.10.1
    dns-nameservers 192.168.10.8 192.168.1.9 8.8.8.8
    dns-domain my_domain.local
    dns-search my_domain.local

# External network
auto eth1
iface eth1 inet manual

auto br1
iface br1 inet manual
    bridge_ports eth1
    bridge_maxwait 0

Answer 1

我在这方面采取的策略是将用于VM的过滤规则从nftable迁移到libvirt的nwfilter规则。这样做的效果是libvirt管理iptables过滤器。实际上，这是将nftable降级为iptable，但我希望libvirt将支持以后迁移到nftable。

这里的文档：https://libvirt.org/formatnwfilter.html