多年来,我一直有一个初始化脚本,用于为我配置 iptables,到目前为止,它一直运行良好。从 10.04 升级到 12.04 后,我开始遇到防火墙问题,规则集被破坏。经过一番尝试,我发现某物正在设置以下规则:
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:53
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:53
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:67
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:67
Chain FORWARD (policy ACCEPT)
target prot opt source destination
ACCEPT all -- 0.0.0.0/0 192.168.122.0/24 state RELATED,ESTABLISHED
ACCEPT all -- 192.168.122.0/24 0.0.0.0/0
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachable
REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachable
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
即使我完全禁用了自己的防火墙脚本。我首先想到的是 ufw 以某种方式处于活动状态 - 但事实并非如此:
# ufw status
Status: inactive
它可能相关也可能不相关,但我只在运行 kvm 的机器上看到过这个问题。
有谁能指出是什么原因造成了这种情况,以及如何禁用添加这些不需要的规则?
为将来寻找此内容的人进行编辑:我终于找到了一个来源,可以明确地将这些神秘的 iptables 规则与 libvirt 联系起来:http://libvirt.org/firewall.html
答案1
它是多宿主机器吗?192.168.122.0/24 CIDR 上有什么?是否有一个接口监听该范围内的某个 IP?我可能会尝试查看以下输出:
grep -R 192.168.122 /etc
找出是否有任何与之相关的配置,并检查 /etc/cron* 中的 cron 条目
答案2
答案3
可能是 ufw 在启动时启用,设置规则,然后变为非活动状态。可能是规则被硬编码到以太网初始化脚本中。或者 KVM?为什么要关心?只需使 iptables 命令无法从 root 运行,chmod然后仅在脚本中启用它即可。