Como eu combino firewall --enabled e --nobase em um kickstart do CentOS?

Como parte do fortalecimento do sistema, estou tentando configurar meu firewall durante um kickstart do CentOS 6.6 com a seguinte linha. Ele funciona sob uma circunstância, caso contrário não.

Firewall do Kickstart

firewall --enabled 
         --service=ssh --service=http --service=https
         --port=53:udp,69:udp,25150:tcp,25151:tcp,3306:tcp

Isso informa para ativar o firewall e abrir um determinado conjunto de serviços. A quebra de linha é para legibilidade e não faz parte da configuração.

A seção Meus pacotes está abaixo, observe que: Se eu adicionar a opção --nobase , o iptables estará no modo passthrough , sem nenhum vestígio da configuração.

Assim que eu remover o --nobase , o iptables é configurado corretamente, apenas com o conjunto definido de portas abertas.

Pacotes do Kickstart:

#%packages --nobase --excludedocs
%packages --excludedocs
@core
yum
wget
openssh-server
yum-downloadonly
screen
sysstat
lsscsi
ntpdate
rudder-agent
-nano
-selinux-policy
-selinux-policy-targeted

Eu fiz muitas reinstalações para rastrear isso, e procurei pelo google para descobrir que existem algumas pessoas combinando as configurações --nobase e firewall --enabled --port .

Além disso, adicionar iptables à lista de pacotes não fez um diff. - é autoadded.

Caso você queira saber, o fornecedor de SW para o aplicativo final não permite que o SELinux seja ativado.

Saída do firewall 1

Esta é a saída quando a base é adicionada:

[host]# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED 
ACCEPT     icmp --  anywhere             anywhere            
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:ssh 
ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:http 
ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:https 
ACCEPT     udp  --  anywhere             anywhere            state NEW udp dpt:domain 
ACCEPT     udp  --  anywhere             anywhere            state NEW udp dpt:tftp 
ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:25150 
ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:25151 
ACCEPT     tcp  --  anywhere             anywhere            state NEW tcp dpt:mysql 
REJECT     all  --  anywhere             anywhere            reject-with icmp-host-prohibited 

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         
REJECT     all  --  anywhere             anywhere            reject-with icmp-host-prohibited 

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination  

Saída do firewall 2

E isso é quando eu usei --nobase:

[host]# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination  

Pergunta :

• Eu não sei se outras pessoas simplesmente não verificaram, ou este é um bug específico para CentOS 6.6 ou quais são os parâmetros exatos do acionador.
• Quais pacotes do @base parecem relacionados à configuração do iptables durante a configuração?

Sim, basicamente, eu gostaria de preencher essa dependência ausente. Se não houver como encontrá-lo, colocarei a configuração do iptables sob controle de algo fora da instalação do SO. Eu gostaria de evitar isso, para que a configuração do firewall esteja em vigor na primeira inicialização e gerada pelo mecanismo padrão, não por algum addon.