Substituindo minhas regras de firewall

10

Eu tive um script de init por muitos anos que configura o iptables para mim e tem funcionado como um campeão até agora. Após a atualização de 10.04 para 12.04, comecei a ter problemas de firewall nos quais os conjuntos de regras estavam sendo corrompidos. Depois de algumas brincadeiras, descobri que alguma coisa está definindo as seguintes regras:

Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0            udp dpt:53
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:53
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0            udp dpt:67
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:67

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  0.0.0.0/0            192.168.122.0/24     state RELATED,ESTABLISHED
ACCEPT     all  --  192.168.122.0/24     0.0.0.0/0           
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
REJECT     all  --  0.0.0.0/0            0.0.0.0/0            reject-with icmp-port-unreachable
REJECT     all  --  0.0.0.0/0            0.0.0.0/0            reject-with icmp-port-unreachable

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         

mesmo quando eu desativei completamente meu próprio script de firewall. Meu primeiro pensamento foi ufw de alguma forma ativa - mas não é:

# ufw status
Status: inactive

Pode ou não estar relacionado, mas eu só vi esse problema em máquinas que estou executando o kvm.

Alguém tem ponteiros para o que poderia estar fazendo isso e como desabilitar o que está adicionando essas regras indesejadas?

Edite para as pessoas que estão procurando por isso no futuro: Eu finalmente localizei uma fonte que vincula definitivamente estas misteriosas regras do iptables ao libvirt: link

    
por Snowhare 15.10.2012 / 18:23

3 respostas

1

É uma máquina multi-homed? O que há no 192.168.122.0/24 CIDR? Existe uma interface de escuta em um dos IPs dentro desse intervalo? Eu provavelmente tentaria ver a saída de:

grep -R 192.168.122 /etc

para descobrir se existe alguma configuração relacionada a ele e também verificar as entradas do cron em / etc / cron *

    
por Marcin Kaminski 08.11.2012 / 02:46
1

O espaço de endereço 192.168.122 é comumente usado pelo kvm. Você pode ver mais sobre isso no site libvirt.

libvirt

Tem toda a informação.

    
por lucianosds 18.09.2013 / 23:02
-1

Pode ser ufw ativado na inicialização, define as regras e fica inativo. Pode ser que as regras sejam codificadas no script de inicialização ethernet. Ou o KVM? Por que se importar? Apenas faça com que o comando iptables seja unrunnable do root com chmod e habilite-o apenas no seu script.

    
por Barafu Albino 26.06.2013 / 13:51