在过去,我有一个使用libvirt / KVM和IPtables的虚拟机pipe理程序,以便通过IPv4上的NAT(在iptables中转发和伪装don)并直接在IPv6(libvirt中configuration的路由networking)上使虚拟机可达。 (例1)。
因为我想切换到CentOS 7,现在默认使用firewalld,我认为使用firewalld而不是iptables是合理的。
我可以使用firewalld作为“drop in replacement”用于这个目的,还是libvirt有限制或问题?
当libvirtd启动时,它会自动探测是否有可用的firewalld。 如果正在运行,那么libvirtd将使用firewalld DBus API,而不是直接运行iptables。 所以从POV开始,libvirt所做的所有防火墙规则应该继续“正常工作”,如果你已经启用了firewalld。
如果您自己添加自定义防火墙规则,与libvirtd添加项分开,则可以使用firewall-cmd --direct选项,该选项基本上允许直通模式 – 几乎每个与iptables命令一起使用的选项都适用于firewall-cmd --direct