Заміна моїх правил брандмауера

10

У мене був багато років сценарій init, який налаштовував iptables для мене, і він працював як чемпіон до цих пір. Після оновлення з 10.04 до 12.04 у мене виникли проблеми з брандмауером, коли пошкоджувалися набори правил. Коли я пограв, я виявив, що щось встановлює такі правила:

Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0            udp dpt:53
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:53
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0            udp dpt:67
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:67

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  0.0.0.0/0            192.168.122.0/24     state RELATED,ESTABLISHED
ACCEPT     all  --  192.168.122.0/24     0.0.0.0/0           
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
REJECT     all  --  0.0.0.0/0            0.0.0.0/0            reject-with icmp-port-unreachable
REJECT     all  --  0.0.0.0/0            0.0.0.0/0            reject-with icmp-port-unreachable

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

навіть коли я повністю відключив власний сценарій брандмауера. Перша моя думка була ufw якось активною - але це не так:

# ufw status
Status: inactive

Це може бути або не бути пов'язаним, але я бачив цю проблему лише на машинах, на яких я працюю на kvm.

Хтось має вказівки на те, що може це робити, і як відключити все, що додає ці небажані правила?

Редагуйте для людей, які шукають цього в майбутньому: я нарешті знайшов джерело, яке остаточно пов'язує ці правила таємницьких iptables з libvirt: http://libvirt.org/firewall.html

firewall  iptables  init.d 
Snowhare
джерело

Відповіді:

1

Це багатодомна машина? Що на CIDR 192.168.122.0/24? Чи є інтерфейс прослуховування на одному з IP-адрес із цього діапазону? Напевно, я б спробував подивитися на результат:

grep -R 192.168.122 /etc

щоб дізнатися, чи є пов’язана з цим будь-яка конфігурація, а також перевірити записи cron у / etc / cron *

Марцін Камінський
джерело
192.168.122 виходить з virbr0 (створений KVM). Найбільше головного болю в мене викликають зміни до стандартних правил. Мій брандмауер використовує DROP за замовчуванням. Для змін використовується ACCEPT за замовчуванням. Я зазвичай закінчую набір правил сміття, де правила за замовчуванням є моїми, але конкретні правила - це вище. У результаті брандмауер блокує майже все.
Snowhare
1

Адресний простір 192.168.122 зазвичай використовується kvm. Більше про це ви можете побачити на сайті libvirt.

лібвірт

Тут є вся інформація.

lucianosds
джерело
1
Ласкаво просимо в Ask Ubuntu! Хоча це теоретично може відповісти на питання, бажано було б сюди включити істотні частини відповіді та надати посилання для довідки.
Брайам
-1

Може бути, ufw увімкнено під час завантаження, встановлює правила, а потім стає неактивним. Можливо, правила жорстко закодовані в Ethernet-скрипт init. Або КВМ? Чому турбота? Просто зробіть команду iptables нездійснюваною з root chmodта ввімкніть її лише у вашому сценарії.

Барафу Альбіно
джерело
Це не гарне запропоноване рішення. Це просто замаскувало б симптом, порушивши функціональність системи, а не виправляючи основну проблему. Це як би запропонувати "виправити" зламаний поворотний сигнал на автомобілі, який не вимкнеться, потягнувши запобіжник.
Snowhare
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.