Замена моих правил брандмауэра

10

В течение многих лет у меня был скрипт инициализации, который настраивал iptables, и до сих пор он работал как чемпион. После обновления с 10.04 до 12.04 у меня начались проблемы с брандмауэром, когда наборы правил были повреждены. После некоторой игры я обнаружил, что что- то устанавливает следующие правила:

Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0            udp dpt:53
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:53
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0            udp dpt:67
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:67

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  0.0.0.0/0            192.168.122.0/24     state RELATED,ESTABLISHED
ACCEPT     all  --  192.168.122.0/24     0.0.0.0/0           
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
REJECT     all  --  0.0.0.0/0            0.0.0.0/0            reject-with icmp-port-unreachable
REJECT     all  --  0.0.0.0/0            0.0.0.0/0            reject-with icmp-port-unreachable

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         

даже когда я полностью отключил свой собственный скрипт брандмауэра. Моей первой мыслью было, что UFW каким-то образом активен, но это не так

# ufw status
Status: inactive

Это может быть или не быть связано, но я видел эту проблему только на машинах, на которых я запускаю kvm.

У кого-нибудь есть указатели на то, что может делать это и как отключить то, что добавляет эти нежелательные правила?

Правка для людей, которые ищут это в будущем: я наконец нашел источник, который окончательно связывает эти загадочные правила iptables с libvirt: http://libvirt.org/firewall.html

Snowhare
источник

Ответы:

1

Это многодомная машина? Что на CIDR 192.168.122.0/24? Есть ли интерфейс, прослушивающий один из IP-адресов из этого диапазона? Я, вероятно, попытался бы посмотреть на вывод:

grep -R 192.168.122 /etc

чтобы выяснить, есть ли какая-либо конфигурация, связанная с этим, а также проверить записи cron в / etc / cron *

Марчин Камински
источник
192.168.122 отрывается от virbr0 (созданного KVM). Больше всего меня беспокоит изменение правил по умолчанию. Мой брандмауэр использует DROP по умолчанию. Изменения используют по умолчанию ПРИНЯТЬ. Я обычно получаю набор правил для мусора, где правила по умолчанию мои, но конкретные правила приведены выше. В результате брандмауэр блокирует практически все.
Snowhare
1

Адресное пространство 192.168.122 обычно используется kvm. Вы можете увидеть больше об этом на сайте libvirt.

Libvirt

Там есть вся информация.

lucianosds
источник
1
Добро пожаловать в Спросите Ubuntu! Хотя это может теоретически ответить на вопрос, было бы предпочтительным включить сюда основные части ответа и предоставить ссылку для справки.
Брайам
-1

Может быть, UFW включен при загрузке, устанавливает правила, а затем становится неактивным. Может быть, правила жестко запрограммированы в сценарии инициализации Ethernet. Или КВМ? Зачем это нужно? Просто сделайте команду iptables незапускаемой от пользователя root chmodи включите ее только в своем скрипте.

Барафу Альбинос
источник
Это не очень хорошее предлагаемое решение. Это просто замаскирует симптом, нарушая функциональность системы, а не исправляя основную проблему. Это все равно, что предложить «починить» сломанный сигнал поворота на автомобиле, который не выключится, потянув предохранитель.
Snowhare