No CentOS 6.4 e 6.3 eu tenho visto fantoches regularmente usando portas abaixo de 32768. Isso é contrário à configuração de portas atribuídas ao kernel de acordo com:
cat /proc/sys/net/ipv4/ip_local_port_range
32768 61000
Exemplo de processo de fantoches bloqueado pelo meu firewall sem estado:
ruby 24488 root 3u IPv4 1844198 0t0 UDP 172.16.10.156:13346->172.16.10.2:domain
Eu gostaria de consertar isso para poder selecionar um intervalo que não precisa ser "universalmente gravável" em um firewall sem estado.
Editar: versão Puppet 3.1.1 e Ruby 1.8.7
Por que seu firewall se preocupa com a porta source de conexões de entrada / pacotes UDP? A correção correta é não se importar com isso e apenas adicionar regras para as coisas importantes: permitir o tráfego para a porta de destino UDP 53, independentemente da porta de origem.
Possivelmente /proc/sys/net/ipv4/ip_local_port_range está sendo definido após o início do daemon do agente fantoche. Reinicie o daemon para verificar.
Tags networking puppet linux udp centos6