Bonjour,
 
j'ai installé Debian 11 sur une machine directement connectée à internet (!) et j'ai mis en place un simple pare-feu (copié l'exemple "workstation" en enlevant juste le "counter" dont j'ai pas besoin):

 
Ca fonctionne, j'ai internet, par contre j'ai des soucis avec KVM/libvirt/Qemu/bazar, à savoir que mes machines virtuelles n'ont aucun accès internet ("réseau non disponible" ). Si je désactive mon pare-feu (flush ruleset) j'ai internet dans les VM, mais je me retrouve sans pare-feu...
 
Je précise que KVM/libvirt installe iptables aussi et que je n'y connais absolument rien ni a iptables ni à nftables.
 
Est-il possible d'adapter le "code" du haut pour faire fonctionner libvirt correctement? J'ai vu firewalld mais ça semble encore bien compliqué. Avec iptables sous Deb10 j'avais un pare-feu et mes VM avaient internet, mais là je sèche...
 
Je peux fournir beaucoup plus d'informations, dites moi ce qu'il vous faut.

Personne?

Bon, après beaucoup de recherche j'ai trouvé un truc qui fonctionne plus ou moins(*), par contre j'ai des gros doutes si c'est correct.

(*) Dans mes VM Debian je ne vois aucun réseau si je clique sur l'icône du manageur, par contre j'ai internet avec DNS et tout.

edit: Je précise que j'utilise le mode "NAT" dans virt-manager, c'est celui par défaut.

Si quelqu'un pouvait commenter:

libvirt rajoute tout un bazar, je peux fournir ce que donne nft list ruleset, mais c'est long...

edit: iif -> iifname, voir message suivant.

Visiblement il y a un soucis encore. Suite au n-ième plantage de la CG j'ai dû redémarrer et me voilà avec une belle erreur dans journalctl -b:

 
Je suppose que virbr0 est créé par libvirtd.service qui est lancé après nft ou quelque chose comme ça. Une idée comment arranger cette histoire?
 
EDIT: à priori réglé en remplacant iif par iifname.