Dépendance bizarre sur Buster avec Iptables/libvirt-daemon-system

jhfra · Août 19, 2019, 6:43pm

Hello,

Sur mon hyperviseur, en Debian 10, voulant passer de iptables (installé par défaut sur le master OVH) à nftables, j’ai voulu ensuite virer iptables. Sauf qu’avec la suppression d’iptables vient celle de libvirt-daemon-system…

apt show libvirt-daemon-system
Package: libvirt-daemon-system
Version: 5.0.0-4
Priority: optional
Section: admin
Source: libvirt
Maintainer: Debian Libvirt Maintainers <pkg-libvirt-maintainers@lists.alioth.debian.org>
Installed-Size: 466 kB
Depends: debconf (>= 0.5) | debconf-2.0, libacl1 (>= 2.2.23), libapparmor1 (>= 2.6~devel), libaudit1 (>= 1:2.2.1), libblkid1 (>= 2.16), libc6 (>= 2.14), libcap-ng0 (>= 0.7.9), libdbus-1-3 (>= 1.9.14), libdevmapper1.02.1 (>= 2:1.02.20), libgnutls30 (>= 3.6.5), libnl-3-200 (>= 3.2.7), libnl-route-3-200 (>= 3.2.7), libnuma1 (>= 2.0.11), libselinux1 (>= 2.0.82), libvirt0 (>= 5.0.0), libxml2 (>= 2.7.4), libyajl2 (>= 2.0.4), adduser, gettext-base, lsb-base, libvirt-clients (= 5.0.0-4), libvirt-daemon (= 5.0.0-4), iptables (>= 1.8.1-1) | firewalld, logrotate, policykit-1
Recommends: dmidecode, dnsmasq-base (>= 2.46-1), iproute2, parted
Suggests: apparmor, auditd, nfs-common, open-iscsi, pm-utils, radvd, systemd, systemtap, zfsutils
Breaks: avahi-daemon (<< 0.6.31-3~), systemd-sysv (<< 224-1~)
Homepage: http://libvirt.org
Download-Size: 119 kB
APT-Manual-Installed: yes
APT-Sources: http://deb.debian.org/debian buster/main amd64 Packages
Description: Libvirt daemon configuration files
 Libvirt is a C toolkit to interact with the virtualization capabilities
 of recent versions of Linux (and other OSes). The library aims at providing
 a long term stable C API for different virtualization mechanisms. It currently
 supports QEMU, KVM, XEN, OpenVZ, LXC, and VirtualBox.
 .
 This package contains the configuration files to run the libvirt daemon as a
 system service.

Là il y a un truc que je ne comprends pas… J’ai installé et activé nftables, mais non, impossible de supprimer iptables sans qu’il me vire toute ma couche de virtualisation.

En quoi iptables dépend de libvirt-daemon-system ?

Alors je pourrais éviter de me faire des noeuds au cerveau et laisser iptables tourner à vide, why not, mais ce n’est pas dans mon état d’esprit de laisser sur une future prod une anomalie dont j’ignore la cause.

Clochette · Août 19, 2019, 6:44pm

Tous comme pour Docker, iptables est historiquement le projet qui gère entre autre le firewall, le routage et les bridges.
https://packages.debian.org/sid/libvirt-daemon-system

Encore un peu de patience pour ne plus le voir apparaître

Désactive le simplement.

PascalHambourg · Août 19, 2019, 6:49pm

Depuis quand iptables gère-t-il le routage et les bridges ?

Clochette · Août 19, 2019, 7:13pm

Tu fais suivre les paquets depuis une interface vers l’ensemble des interfaces sur un bridge, c’est pas du routage ?

Abus de langage sans doute … ce que je cherche à préciser c’est que Iptable historiquement s’interface avec tous ça.

PascalHambourg · Août 19, 2019, 8:58pm

Non, c’est du pontage, de la commutation de trame. De toute façon, que ce soit l’un ou l’autre, ce n’est pas géré par iptables. iptables ne gère que la manipulation de paquets : filtrage, NAT, marquage…

jhfra · Août 19, 2019, 9:11pm

Mais l’un ou l’autre, le problème est le même : Buster, c’est quand même le passage de Iptables à Nftables, est-ce donc normal, dans la version stable, de voir des références à Iptables alors même que dans les notes des paquets (apt show), il est dit partout de quitter Iptables à Nftables ?

Est-ce ça ne pourrait pas être considéré comme un bug cette dépendance ?

PascalHambourg · Août 19, 2019, 9:19pm

Je trouve qu’il faut relativiser cette affirmation qu’on claironne sur tous les toits.
Quand on fait une installation minimale de buster, iptables est présent mais pas nftables.
iptables n’est pas mort et enterré.