替换我的防火墙规则

tag-icon tag-icon firewall iptables init.d
替换我的防火墙规则

多年来,我一直有一个初始化脚本,用于为我配置 iptables,到目前为止,它一直运行良好。从 10.04 升级到 12.04 后,我开始遇到防火墙问题,规则集被破坏。经过一番尝试,我发现某物正在设置以下规则:

Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0            udp dpt:53
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:53
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0            udp dpt:67
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:67

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  0.0.0.0/0            192.168.122.0/24     state RELATED,ESTABLISHED
ACCEPT     all  --  192.168.122.0/24     0.0.0.0/0           
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
REJECT     all  --  0.0.0.0/0            0.0.0.0/0            reject-with icmp-port-unreachable
REJECT     all  --  0.0.0.0/0            0.0.0.0/0            reject-with icmp-port-unreachable

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

即使我完全禁用了自己的防火墙脚本。我首先想到的是 ufw 以某种方式处于活动状态 - 但事实并非如此:

# ufw status
Status: inactive

它可能相关也可能不相关,但我只在运行 kvm 的机器上看到过这个问题。

有谁能指出是什么原因造成了这种情况,以及如何禁用添加这些不需要的规则?

为将来寻找此内容的人进行编辑:我终于找到了一个来源,可以明确地将这些神秘的 iptables 规则与 libvirt 联系起来:http://libvirt.org/firewall.html

答案1

它是多宿主机器吗?192.168.122.0/24 CIDR 上有什么?是否有一个接口监听该范围内的某个 IP?我可能会尝试查看以下输出:

grep -R 192.168.122 /etc

找出是否有任何与之相关的配置,并检查 /etc/cron* 中的 cron 条目

答案2

地址空间 192.168.122 是 kvm 常用的地址空间。您可以在 libvirt 站点上查看有关此内容的更多信息。

虚拟器

那里有所有的信息。

答案3

可能是 ufw 在启动时启用,设置规则,然后变为非活动状态。可能是规则被硬编码到以太网初始化脚本中。或者 KVM?为什么要关心?只需使 iptables 命令无法从 root 运行,chmod然后仅在脚本中启用它即可。

相关内容