From 076e25a36eebb75496b7ec0cda385a0713427094 Mon Sep 17 00:00:00 2001
From: postscriptum <postscriptum@gemlog>
Date: Mon, 16 Feb 2026 18:15:14 +0200
Subject: [PATCH] add QEMU / KVM / virt-manager notes

---
 ...ia-vykhidnykh-zyednan-na-internet-z-ufw.md | 20 +++++++++++++++++++
 1 file changed, 20 insertions(+)

diff --git a/post/obmezennia-vykhidnykh-zyednan-na-internet-z-ufw.md b/post/obmezennia-vykhidnykh-zyednan-na-internet-z-ufw.md
index 8b6dbf3..35df0a0 100644
--- a/post/obmezennia-vykhidnykh-zyednan-na-internet-z-ufw.md
+++ b/post/obmezennia-vykhidnykh-zyednan-na-internet-z-ufw.md
@@ -106,6 +106,26 @@ ufw allow out on lxcbr0
 systemctl restart lxc-net.service
 ```
 
+## QEMU / KVM / virt-manager
+
+``` bash
+ufw allow in on virbr0
+ufw allow out on virbr0
+```
+
+Замість `on virbr0` можна вказати конкретний локальний IP машини, або діапазон (якщо цей діапазон закріплено саме за віртуальним бріджем)
+
+``` bash
+ufw allow out from 192.168.122.0/24
+```
+
+Якщо використовується [обмеження вихідного трафіку на окремий інтерфейс](https://devzone.org.ua/post/blokuvannia-priamykh-zyednan-na-internet-okrim-iak-cherez-tunel-openvpn-z-ufw) (наприклад VPN на `tun0`) і стандартну політику `route` встановлено як `deny`, то потрібно додати виключення:
+
+``` bash
+ufw route allow in on virbr0 out on tun0
+```
+* де `tun0` - ваш інтерфейс
+
 ## Дивіться також
 
 * [Ізоляція Linux від прямих Інтернет з'єднань на базі QEMU / Virtual Machine Manager з VSOCK](https://devzone.org.ua/post/izoliatsiia-linux-vid-priamykh-internet-zyednan-na-bazi-qemu-virtual-machine-manager-i-vsock)
\ No newline at end of file