В течение многих лет у меня был скрипт инициализации, который настраивал iptables, и до сих пор он работал как чемпион. После обновления с 10.04 до 12.04 у меня начались проблемы с брандмауэром, когда наборы правил были повреждены. После некоторой игры я обнаружил, что что- то устанавливает следующие правила:
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:53
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:53
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:67
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:67
Chain FORWARD (policy ACCEPT)
target prot opt source destination
ACCEPT all -- 0.0.0.0/0 192.168.122.0/24 state RELATED,ESTABLISHED
ACCEPT all -- 192.168.122.0/24 0.0.0.0/0
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachable
REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachable
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
даже когда я полностью отключил свой собственный скрипт брандмауэра. Моей первой мыслью было, что UFW каким-то образом активен, но это не так
# ufw status
Status: inactive
Это может быть или не быть связано, но я видел эту проблему только на машинах, на которых я запускаю kvm.
У кого-нибудь есть указатели на то, что может делать это и как отключить то, что добавляет эти нежелательные правила?
Правка для людей, которые ищут это в будущем: я наконец нашел источник, который окончательно связывает эти загадочные правила iptables с libvirt: http://libvirt.org/firewall.html
Адресное пространство 192.168.122 обычно используется kvm. Вы можете увидеть больше об этом на сайте libvirt.
Libvirt
Там есть вся информация.
источник
Может быть, UFW включен при загрузке, устанавливает правила, а затем становится неактивным. Может быть, правила жестко запрограммированы в сценарии инициализации Ethernet. Или КВМ? Зачем это нужно? Просто сделайте команду iptables незапускаемой от пользователя root
chmod
и включите ее только в своем скрипте.источник