Замена правил брандмауэра

10

У меня был сценарий init уже много лет, который настраивает iptables для меня, и до сих пор он работал как чемпион. После обновления с 10.04 по 12.04 у меня возникли проблемы с брандмауэром, где были повреждены правила. После некоторой игры я обнаружил, что что-то устанавливает следующие правила:

Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0            udp dpt:53
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:53
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0            udp dpt:67
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:67

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  0.0.0.0/0            192.168.122.0/24     state RELATED,ESTABLISHED
ACCEPT     all  --  192.168.122.0/24     0.0.0.0/0           
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
REJECT     all  --  0.0.0.0/0            0.0.0.0/0            reject-with icmp-port-unreachable
REJECT     all  --  0.0.0.0/0            0.0.0.0/0            reject-with icmp-port-unreachable

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         

, даже если я полностью отключил собственный скрипт брандмауэра. Моя первая мысль была ufw была как-то активна - но это не так:

# ufw status
Status: inactive

Это может быть или не быть связано, но я видел эту проблему только на машинах, на которых я запускаю kvm.

Есть ли у кого-нибудь указатели на то, что может это сделать и как отключить все, что добавляет эти нежелательные правила?

Изменить для людей, которые ищут это в будущем: я наконец нашел источник, который окончательно связывает эти правила тайны iptables с libvirt: Ссылка     

задан Snowhare 15.10.2012 в 16:23
источник

3 ответа

1

Является ли это многоместной машиной? Что такое 192.168.122.0/24 CIDR? Есть ли интерфейс, прослушивающий один из IP-адресов из этого диапазона? Вероятно, я попытаюсь посмотреть результат:

grep -R 192.168.122 /etc

, чтобы узнать, есть ли какая-либо конфигурация, связанная с ним, а также проверить записи cron в / etc / cron *

    
ответ дан Marcin Kaminski 08.11.2012 в 01:46
1

Адресное пространство 192.168.122 обычно используется kvm. Об этом можно узнать на сайте libvirt.

libvirt

Здесь есть вся информация.

    
ответ дан lucianosds 18.09.2013 в 21:02
-1

Может быть, ufw включен при загрузке, устанавливает правила, а затем становится неактивным. Возможно, правила жестко закодированы в сценарии инициализации ethernet. Или КВМ? Зачем заботиться? Просто сделайте команду iptables непроходимой из root с chmod и включите ее только в вашем скрипте.

    
ответ дан Barafu Albino 26.06.2013 в 11:51