<div>Hi,<br></div><div><br></div><div>Using a bridge set up with libvirt (as in <a href="http://wiki.libvirt.org/page/Networking#NAT_forwarding_.28aka_.22virtual_networks.22.29">http://wiki.libvirt.org/page/Networking#NAT_forwarding_.28aka_.22virtual_networks.22.29</a>) doesn't work.<br></div><div>Neither does using a bridge set up as indicated in <a href="https://wiki.debian.org/LXC/SimpleBridge#Using_lxc-net">https://wiki.debian.org/LXC/SimpleBridge#Using_lxc-net</a> (causes the same errors as with libvirt).<br></div><div>Using a classical / "plain old" / you-name-it bridge, set up as in <a href="http://wiki.libvirt.org/page/Networking#Altering_the_interface_config">http://wiki.libvirt.org/page/Networking#Altering_the_interface_config</a>, does work.<br></div><div><br></div><div>By the way, the <i>lxc_delete_network:3028...</i> additional error I was seeing pops up only when /etc/lxc/lxc-usernet is still set to use br0, whilst the LXC container is set to use virbr0 and hence can be ignored, sorry about that. When properly configured (i.e. when both are configured to use virbr0, or lxcbr0), container startup simply fails with a "Failed to create the configured network" error, but still fails, whereas when using classical br0, it works.<i><br></i></div><div><br></div><div>So, if your bridge is set up as suggested in <a href="https://wiki.debian.org/BridgeNetworkConnections">https://wiki.debian.org/BridgeNetworkConnections</a>' <i>Manual bridge setup</i> section, using either brctl or /etc/network/interfaces (for a persistent config), we have the same configuration and it works, which is fine. Still, I thought that LXC enabled using lxcbr0 bridges in user mode, as  <i>lxc-<b>user</b>-nic</i>'s man page suggests is possible. Can you confirm whether this is  the case with the current version?<br></div><div><br></div><div>Regards,<br></div><div>Stiepan<br></div><div class="protonmail_signature_block "><div><br></div><div class="protonmail_signature_block-proton ">Sent with <a href="https://protonmail.com">ProtonMail</a> Secure Email.<br></div></div><div><br></div><blockquote type="cite" class="protonmail_quote"><div>-------- Original Message --------<br></div><div>Subject: Re: [pkg-lxc-devel] Bug#857295: Info received ([oss-security] LXC: CVE-2017-5985: lxc-user-nic didn't verify network namespace ownership)<br></div><div>Local Time: 24 March 2017 10:17 AM<br></div><div>UTC Time: 24 March 2017 09:17<br></div><div>From: <a href="mailto:evgeni@debian.org">evgeni@debian.org</a><br></div><div>To: Stiepan <<a href="mailto:stie@itk.swiss">stie@itk.swiss</a>>, <a href="mailto:857295@bugs.debian.org">857295@bugs.debian.org</a><br></div><div><br></div><div>Hi,<br></div><div><br></div><div>On Fri, Mar 24, 2017 at 05:03:57AM -0400, Stiepan wrote:<br></div><div>> Fyi, now that lxc 2.0.7-2 landed in jessie-backports, I am getting a new error when trying to start an lxc instance (running jessie as well) using a virtual br0 rather than "plain old" br0 (all of this in unprivileged mode), namely: lxc_delete_network:3028 - Failed to remove interface "vethXJW6PL" from host: Operation not permitted. With "plain old" br0, it still works as expected.<br></div><div><br></div><div>Can you alaborate a bit more on your network setup please?<br></div><div>What is a "virtual br0"? How do you you set this up?<br></div><div><br></div><div>My setup uses brctl to setup the bridge and then unpviliged containers<br></div><div>work fine. I guess that is "plain old" for ya?<br></div><div><br></div><div>Regards<br></div><div>Evgeni<br></div></blockquote><div><br></div>