Substituindo minhas regras de firewall

Eu tive um script de init por muitos anos que configura o iptables para mim e tem funcionado como um campeão até agora. Após a atualização de 10.04 para 12.04, comecei a ter problemas de firewall nos quais os conjuntos de regras estavam sendo corrompidos. Depois de algumas brincadeiras, descobri que alguma coisa está definindo as seguintes regras:

Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0            udp dpt:53
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:53
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0            udp dpt:67
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:67

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  0.0.0.0/0            192.168.122.0/24     state RELATED,ESTABLISHED
ACCEPT     all  --  192.168.122.0/24     0.0.0.0/0           
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
REJECT     all  --  0.0.0.0/0            0.0.0.0/0            reject-with icmp-port-unreachable
REJECT     all  --  0.0.0.0/0            0.0.0.0/0            reject-with icmp-port-unreachable

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         

mesmo quando eu desativei completamente meu próprio script de firewall. Meu primeiro pensamento foi ufw de alguma forma ativa - mas não é:

# ufw status
Status: inactive

Pode ou não estar relacionado, mas eu só vi esse problema em máquinas que estou executando o kvm.

Alguém tem ponteiros para o que poderia estar fazendo isso e como desabilitar o que está adicionando essas regras indesejadas?

Edite para as pessoas que estão procurando por isso no futuro: Eu finalmente localizei uma fonte que vincula definitivamente estas misteriosas regras do iptables ao libvirt: link