Voir Firewalld Lockdown

Voir :

• https://libvirt.org/firewall.html
• https://ask.fedoraproject.org/en/question/41441/how-to-port-forwarding-requests-coming-into-a-kvm-host-say-kvmhost-to-one-of-its-guests-say-kvmguest01/
• https://www.centos.org/forums/viewtopic.php?t=49095
• https://bugzilla.redhat.com/show_bug.cgi?id=1079088

Voir aussi :

• Firewall iptables shorewall firewalld firewall-cmd ufw ipset

A la place de la ligne iptables commentée ci-dessus, j'essaye firewall-cmd

#iptables -t nat -I PREROUTING -p tcp -d 172.18.98.74 --dport 64001  -j DNAT --to-destination 192.168.122.95:22
firewall-cmd --zone=public --add-masquerade
firewall-cmd --add-forward-port=port=64001:proto=tcp:toport=22:toaddr=192.168.122.95

Mais ça n'est pas suffisant.

Note : iptables est remplacé maintenant par nftables

Pour que ca marche, j'ai je choix entre :

iptables -I FORWARD -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT

ou

iptables -D FORWARD -o virbr0 -j REJECT --reject-with icmp-port-unreachable

ou mieux

#firewall-cmd --direct --passthrough ipv4 -D FORWARD -o virbr0 -j REJECT --reject-with icmp-port-unreachable
firewall-cmd --direct --passthrough ipv4 -I FORWARD -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT