Lister les réseaux disponibles :

virsh net-list --all

Afficher les détails du réseau “default” :

virsh net-info default

Comme pour les domaines (VMs) on peut exporter une configuration existante en XML et y apporter les modifications nécessaires à notre nouvelle définition :

virsh net-dumpxml default > vm-internal.xml

vm-internal.xml

<network>
  <name>vm-internal</name>
  <bridge name='virbr1' stp='on' delay='0'/>
</network>

Ici on souhaite définir un réseau interne pour interconnecter plusieurs VMs sans connexion Internet.

Une fois le fichier enregistré et modifié, pour définir le nouveau réseau, on peut utiliser les commandes virsh net-define (réseau permanent) ou virsh net-create (transitoire/temporaire).

# Création du réseau permanent à partir du fichier XML
virsh net-define --validate --file vm-internal.xml
 
# Lister les réseaux
virsh net-list --all 
 Name          State      Autostart   Persistent
--------------------------------------------------
 default       active     yes         yes
 vm-internal   inactive   no          yes
 
# Activer le réseau
virsh net-start vm-internal
 
# Démarrer automatiquement le réseau
virsh net-autostart vm-internal
 
# Détails du nouveau réseau
virsh net-info vm-internal 
Name:           vm-internal
UUID:           3f66061e-4dd0-449f-8917-d73cd3f1222b
Active:         yes
Persistent:     yes
Autostart:      yes
Bridge:         virbr1

On note que le pont d'accès au réseau est virbr1 : il faudra fournir ce pont aux VMs que l'on souhaite interconnecter.

On peut à présent ajouter une interface à chaque VM que l'on souhaite connecter :

# Connexion permanente de la VM ftp-server au réseau vm-internal
virsh attach-interface --persistent --type bridge --source virbr1 --model virtio ftp-server
 
# Connecte ponctuellement la VM file-server déjà démarrée au réseau vm-internal
virsh attach-interface --live --type bridge --source virbr1 --model virtio file-server 
 
# Connecte ponctuellement la VM debian12-amd64-novideo déjà démarée au réseau vm-internal
virsh attach-interface --live --type bridge --source virbr1 --model virtio debian12-amd64-novideo

Selon la politique de filtrage appliquée sur l'hôte exécutant le service de virtualisation KVM, des règles supplémentaires peuvent être nécessaires.

Lorsqu'une VM démarre, elle rejoint le réseau virtuel de type pont “virbr0” c'est via ce réseau qu'elle accède à Internet au travers de la connexion de l’hôte.

Dans l'exemple ci dessous le filtrage préexistant refuse le trafic entrant permettant l'auto-configuration de l'interface de la VM :

juil. 05 09:28:02 node-7c87 kernel: [FW] [REJECT] [RID=666] IN=virbr0 OUT= MAC=ff:ff:ff:ff:ff:ff:52:54:00:1d:20:08:08:00 SRC=0.0.0.0 DST=255.255.255.255 LEN=328 TOS=0x10 PREC=0x00 TTL=128 ID=0 PROTO=UDP SPT=68 DPT=67 LEN=308

On introduit une règle de filtrage supplémentaire autorisant les requêtes DHCPDISCOVER entrant par l'interface “virbr0” :

Depuis nft en mode interactif :

insert rule ipfilter inbound position 17 iif "virbr0" ip daddr 255.255.255.255 udp sport 68 udp dport 67 log prefix "[FW] [ACCEPT] [RID=18] " level notice counter accept comment "Autorise autoconfiguration VMs KVM"

KVM utilise dnsmasq pour fournir la configuration aux VMs, selon la politique de filtrage en place il faudra également autorisé le trafic sortant :

juil. 05 10:00:32 node-7c87 dnsmasq-dhcp[1698]: DHCPDISCOVER(virbr0) 192.168.122.43 52:54:00:1d:20:08
juil. 05 10:00:32 node-7c87 dnsmasq-dhcp[1698]: DHCPOFFER(virbr0) 192.168.122.43 52:54:00:1d:20:08
juil. 05 10:00:32 node-7c87 dnsmasq-dhcp[1698]: Error sending DHCP packet to 192.168.122.43: Operation not permitted
juil. 05 10:00:32 node-7c87 kernel: [FW] [REJECT] [RID=667] IN= OUT=virbr0 SRC=192.168.122.1 DST=192.168.122.43 LEN=328 TOS=0x00 PREC=0xC0 TTL=64 ID=13364 PROTO=UDP SPT=67 DPT=68 LEN=308

Ici on insère une règle de filtrage (depuis nft en mode interactif) :

insert rule ipfilter outbound position 39 oif "virbr0" udp sport 67 udp dport 68 log prefix "[FW] [ACCCEPT] [RID=61] " level notice counter accept comment "Autorise autoconfiguration VMs KVM (DHCPOFFER)"

Pour autoriser les connexions SSH :

insert rule ipfilter outbound position 34 oif "virbr0" tcp dport 22 log prefix "[FW] [ACCCEPT] [RID=62] " level notice counter accept comment "Autorise connexion SSH aux VMs KVM"

Pour que les VMs puissent avoir accès à Internet l’hôte doit également autoriser la transmission des paquets (forwarding) :

Dans cet exemple la configuration préexistante trace et mais rejette les transmissions de trafic :

list chain ipfilter forward
table ip ipfilter {
        chain forward { # handle 3
                type filter hook forward priority filter; policy drop;
                log prefix "[FW] [REJECT] [RID=668] " counter packets 0 bytes 0 reject comment "Refuse toute transmission non explicitement autorisee" # handle 41
        }
}

On peut autoriser les transmissions HTTP et HTTPS en provenance du

insert rule ipfilter forward iif "virbr0" oif "lan0" ct state new tcp dport { 80, 443 } log prefix "[FW] [REJECT] [RID=81] " level notice counter accept comment "Transfert le trafic web pour les VMs KVM"


insert rule ipfilter forward ct state established,related counter accept comment "Transfert les trafics des connexions explicitement autorisees"

• https://fr.linux-console.net/?p=22230
• https://www.techtarget.com/searchitoperations/tip/Use-virsh-commands-to-manage-KVM-networking