ange's questions

tldr; bridge (veja abaixo) não funciona se houver uma queda correspondente em outra tabela (como as regras padrão do firewalld).

Olá,
estou construindo minha própria biblioteca de VM (uma espécie de quickemu ).
Tenho um problema com as regras de firewall para ponte. Comecei com iptables-nft e funcionou bem até testar meus scripts no fedora. Não importa o que eu faça, o firewalld bloqueia tudo. Então optei pelo nftables para tentar ignorar as regras do firewalld diretamente, mas mesmo assim não consigo encontrar uma maneira de fazê-lo funcionar sem excluir as regras do firewalld.

Pelo que entendi, a prioridade afeta apenas a ordem em que as regras são testadas, se houver drop, mesmo no final o pacote é descartado?

Existe uma maneira de contornar esse comportamento que eu não conheço? Tentei pesquisar as marcas, mas não tenho certeza se é a solução certa.

Aqui estão as regras que uso para a ponte (funciona perfeitamente se não houver outra tabela no conjunto de regras):

#!/usr/bin/nft -f
# vim:set ts=2 sw=2 et:

table ip QEMU
delete table ip QEMU
table ip QEMU {
  chain input {
    type filter hook input priority filter - 1;

    ct state {established,related} iifname "virbr0" counter accept
  }

  chain forward {
    type filter hook forward priority filter - 1;

    ct state {established,related} iifname "virbr0" counter accept
  }

  chain postrouting {
    type nat hook postrouting priority srcnat;

    iifname "virbr0" counter masquerade
  }
}

Eu tenho um servidor com helm-openldap e um cliente debian. Não consigo fazer login em um usuário que tenha uma senha criptografada SHA-512. Se eu armazená-lo em clear ou MD5, ele funciona perfeitamente.

$ id tuser
uid=5000(tuser) gid=5000(tuser) groups=5000(tuser),5001(wheel)

/var/log/auth.log

Jul  1 14:04:33 debian su: pam_unix(su:auth): authentication failure; logname=debian uid=1000 euid=0 tty
=pts/0 ruser=debian rhost=  user=tuser
Jul  1 14:04:33 debian su: pam_sss(su:auth): authentication failure; logname=debian uid=1000 euid=0 tty=
pts/0 ruser=debian rhost= user=tuser
Jul  1 14:04:33 debian su: pam_sss(su:auth): received for user tuser: 7 (Authentication failure)
Jul  1 14:04:36 debian su: FAILED SU (to tuser) debian on pts/0

sssd.conf:

[sssd]
domains = LDAP_DOMAIN
services = nss, pam

[domain/LDAP_DOMAIN]
id_provider = ldap
auth_provider = ldap

ldap_uri = ldaps://ldap.domain.com
cache_credentials = True

ldap_default_bind_dn = cn=admin,dc=domain,dc=com
ldap_default_authtok_type = password
ldap_default_authtok = admin_password

$ ldapsearch -x -H ldaps://ldap.domain.com -b dc=domain,dc=com -D cn=admin,dc=domain,dc=com -W
Enter LDAP Password:
# extended LDIF
#
# LDAPv3
# base <dc=domain,dc=com> with scope subtree
# filter: (objectclass=*)
# requesting: ALL
#

# test.user, domain.com
dn: cn=test.user,dc=domain,dc=com
cn: test.user
gidNumber: 5000
givenName: test
homeDirectory: /home/tuser
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: top
sn: tuser
uid: tuser
uidNumber: 5000
loginShell: /usr/bin/bash
userPassword:: e01ENX1rQUZRbUR6U1Q3RFdsajk5S09GL2NnPT0=

# search result
search: 2
result: 0 Success

# numResponses: 1
# numEntries: 1

Agradecemos antecipadamente por qualquer ajuda!