В дополнение к этом - костыль отсюда был испытан, и оказался неприменим при наличии нескольких виртуалок - рушится нат.

Один из скриптов с либвирт.орг заработал как надо после приложения напильника... может, кому пригодится. Брать здесь.

а по какому принципу правила загружаются при старте оси? как ты их сохранил?

Их загружает либвирт хуком для qemu. Сам скрипт для хука в сообщении выше. Файл должен лежать в /etc/libvirt/hooks, называться qemu и быть исполняемым.

так сделай проще:
пока все правила выставлены чётко iptables-save > file
chmod a+x file
в /etc/rc.local itpables-restore file

А ты уверен, что ты открывающий пост читал? :)
Либвирт ставит свои правила иптаблеса над всеми.

хм, блин.... может тогда в этот же rc.local добавить что-то типа
iptables -D FORWARD -d 192.168.199.0/24 -o virbr0 -m state --state RELATED,ESTABLISHED -j ACCEPT iptables -I FORWARD -m state -d 192.168.199.0/24 --state NEW,RELATED,ESTABLISHED -j ACCEPT

и тогда правила будут «меняться местами». а, кстати, iptables -I это ж ЕМНИП добавление правила в самый низ... может поэтому?

Не сработает. Оно правила пересоздает при каждом старт/стопе виртуалки. Потому и нужен хук: чтобы обрабатывал именно эти события. Ты б хоть в скрипт поглядел... чем он тебя кстати не устроил? Работает идеально.

Не понимаю, зачем так сложно???

Сразу скажу, я - НЕ программист ниразу!

Но мне не понятно, зачем вычислять имена виртуальных машин, зачем все эти переменные с номерами портов, адресов, именами интерфейсов? Зачем весь этот навороченный алгоритм? Разве нельзя просто внести в файл qemu нужные правила так, как пишеш эти правила напрямую в iptables, без всего этого геморроя с переменными и условиями? И не важно, запущена ли в данный момент виртуальная машина, на которую перенаправляешь какой-то порт. При старте libvirtd внесёт в iptables на хостовой машине прошитые в него правила и те, что мы внесём в файл qemu. А чтоб нужное правило всегда первым было, в файле писать «iptables -I FORWARD 1 ...» И всё. Разве так не работает?

А то сижу, колупаю этот скрипт и не пойму, чего в нём допилить, если у меня помимо _sport=( '80' '443' ), _dport=( '80' '443' ) ещё 8080 на 80 перенаправить надо... Т.е. _sport=( '8080' '80' '443' ), _dport=( '80' '443' ). Будет ли оно работать?...

Нельзя проще, потому что будут дублирующиеся и пересекающиеся правила. Для того, чтобы это понять, не нужно быть программистом, нужно не быть идиотом.

Не работает...

Не работает у меня скрипт. В логе вот такая лабуда и виртуалки не стартуют: Hook script /etc/libvirt/hooks/qemu qemu failed with error code 256

Изменил в скрипте только это:

external_ifs='eth0'
external_ip='10.0.1.14'

# List the machines here
machines=( 'fedora-web-srv' )

# Machine definition block
web_hostname='fedora-web-srv'
web_ip='10.0.0.4'
web_sport=('8080' '80' '443' )
web_dport=( '80' '80' '443' )

А машинку так и зовут?

Угу... Совершенно точно, виртуальную машину так и зовут fedora-web-srv.
Где хоть посмотреть трассировку вывода можно? В PHP можно уровень логов debug выставить, так там строку, в которой ошибка показывает. А тут скрипт вообще на каком языке-то?

Исправил
# Machine definition block
fedora-web-srv_hostname='fedora-web-srv'
fedora-web-srv_ip='10.0.0.4'
fedora-web-srv_sport=('8080' '80' '443' )
fedora-web-srv_dport=( '80' '80' '443' )

Всё равно ошибка, теперь с другим кодом:
error : qemuAutostartDomain:168 : Failed to autostart VM 'fedora-web-srv': Hook script execution failed: Hook script /etc/libvirt/hooks/qemu qemu failed w ith error code 32512

Разобрался, всё работает. Под себя чуть-чуть подпилил.
Четыре предыдущих сообщения прошу удалить.

Доброго времени суток !

а доступа то нет :(

пароль треба

Структура помойки поменялась, переложил сюда.

спасибо за скрипт.

у меня правда задача чуть другая мне нужно правило форвардинга с virbro на virbr1.

я так понимаю что мне нужно прописать в него все свои виртуалки (чтобы при перезапуске все сохранялось) и поменять правило форварда ?