Salut, Daniel Huhardeaux a écrit : > > . un serveur avec des machines virtuelles kvm, reseau 10.0.70.1 pour le > serveur, 10.0.70.[11|12|...|] pour les VM. > . deux réseaux OpenVPN 10.99.3.1 (serveur VPN) et 10.99.3.18 (client VPN) > > J'ai paramétré libvirtd+tls de manière à ce qu'il n'écoute que sur > l'adresse 10.0.70.1 Le problème est que libvirt ne démarre pas si cette > adresse n'existe pas et comme c'est lui qui la créée en créant le > network des VM, c'est pas cool ;-)
Tu peux attribuer l'adresse 10.0.70.1/32 à une autre interface qui existe déjà, par exemple l'interface de loopback lo. Il n'est pas interdit d'attribuer la même adresse à plusieurs interfaces et plusieurs adresses à la même interface. > Ce que je voudrai: libvirtd+tls démarre en écoutant 127.0.0.1 le port > étant 16514 et iptables redirige les requêtes du port 16540 IP 10.0.70.1 > vers 127.0.0.1 J'ai donc créé les règles suivantes, sachant que je me > connecte en VPN sur le réseau serveur, forcément ;-), et que celui ci > est parfaitement fonctionnel. Voici donc ces règles: > > iptables -t nat -A PREROUTING -p tcp -d 10.0.70.1 --dport 16514 -j DNAT > --to 127.0.0.1 > iptables -A INPUT -p tcp --dport 16514 -j ACCEPT Si tu comptes y accéder depuis ailleurs que la machine, ça ne marchera pas : le noyau écarte les paquets ayant une adresse source ou destination dans 127.0.0.0/8 reçus depuis ou émis vers l'extérieur (comprendre par une interface non loopback). La subtilité est que cette vérification en entrée a lieu lors de la décision de routage, après les chaînes PREROUTING, donc quand l'adresse de destination a été changée en 127.0.0.1. Une alternative consiste à utiliser un relais de port TCP (rinetd, socat, redir, 6tunnel, stone, simpleproxy...). -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/4d29b3ce.4060...@plouf.fr.eu.org