• VirtManager
• Tutorial: https://www.rootusers.com/how-to-use-firewalld-rich-rules-and-zones-for-filtering-and-nat/

firewalld ist eine Firewall-Software, die mit iptables oder nftables arbeiten kann. Sie arbeitet auch mit Virt-Manager zusammen (wenn iptables genutzt werden).

• Zonen sind AdressbBereiche, denen Regeln, Dienste, Ports und Protokolle zugeordnet werden.
• Bei eingehenden Verbindungen: gehört das Ziel zu einer Zone, werden dessen Regeln angewendet, ansonsten die "default zone"

apt install firewalld

in /etc/firewalld/firewalld.conf:

FirewallBackend=iptables

• Vordefinierte Zonen, Services...: /usr/lib/firewalld
• Selbst definierte Zonen, Services...: /etc/firewalld

firewall-cmd --list-all-zones
firewall-cmd --list-all-zones --zone=home
firewall-cmd --get-active-zone
# public
#   interfaces: eth0

# neue Zone anlegen:
firewall-cmd --permanent --new-zone=vmnet
# Netz zuweisen
firewall-cmd --permanent --zone=vmnet --add-source=10.10.10.0/24
# Unbedingt so lassen, sonst wird SSH ausgesperrt, wenn default zone ein Masquerading enthält
firewall-cmd --set-default-zone=public
# NAT einrichten:
firewall-cmd --permanent --zone=vmnet --add-masquerade
firewall-cmd --permanent --zone=vmnet --query-masquerade
# Port forwarding
firewall-cmd --permanent --zone=vmnet --add-forward-port=port=10122:proto=tcp:toport=22:toaddr=10.0.0.101
# Abfrage, ob Port forwarding existiert. Antwort yes oder no.
firewall-cmd --permanent --zone=vmnet --query-forward-port=port=10122:proto=tcp:toport=22:toaddr=10.0.0.101

geht nicht!

firewall-cmd --permanent --direct --passthrough ipv4 -I FORWARD -i bridge0 -j ACCEPT
firewall-cmd --permanent --direct --passthrough ipv4 -I FORWARD -o bridge0 -j ACCEPT
firewall-cmd --reload

IP=192.0.2.100
firewall-cmd --permanent --add-rich-rule="rule family='ipv4' source address='$IP' drop"
firewall-cmd --reload

Anschauen:

firewall-cmd --list-rich-rules

Wie definieren (exakt gleich), nur "--remove-rich-rule"