Вопросы Теги

Replacing my firewall задницы

гve had an init рукописный шрифт for many years that конфигурируй iptables for я and it ты существуешь worked like в champ until now. After upgrading from 10.04 to 12.04 I started having firewall problems where the rulesets were being corrupted. After some playing around I discovered that something is setting the following задницы:

Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0            udp dpt:53
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:53
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0            udp dpt:67
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:67

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  0.0.0.0/0            192.168.122.0/24     state RELATED,ESTABLISHED
ACCEPT     all  --  192.168.122.0/24     0.0.0.0/0           
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
REJECT     all  --  0.0.0.0/0            0.0.0.0/0            reject-with icmp-port-unreachable
REJECT     all  --  0.0.0.0/0            0.0.0.0/0            reject-with icmp-port-unreachable

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

even when гve completely disabled my own firewall рукописный шрифт. My first thought was ufw was somehow включил - but it isn't:

# ufw status
Status: inactive

It май or май not be related, but гve only seen this problem on machines I am running kvm on.

Does anyone have пойнтеры to what could be doing this and how to disable whatever is adding these unwanted задницы?

Edit for people looking for this in the future: I finally located в source that definitively соединения these mystery iptables задницы to libvirt: http://libvirt.org/firewall.html

10
задан 9 December 2012 в 21:23

3 ответа

Это многодомная машина? Что на CIDR 192.168.122.0/24? Есть ли интерфейс, прослушивающий один из IP-адресов из этого диапазона? Вероятно, я бы попытался посмотреть на вывод: 

grep -R 192.168.122 /etc

, чтобы выяснить, есть ли какая-либо конфигурация, связанная с ним, а также проверить записи cron в / etc / cron *

0
ответ дан 9 December 2012 в 21:23

Может быть, UFW включен при загрузке, устанавливает правила, а затем становится неактивным. Может быть, правила жестко запрограммированы в сценарии инициализации Ethernet. Или КВМ? Зачем это нужно? Просто сделайте iptables команду unrunnable от root с помощью chmod и включите ее только в вашем скрипте.

0
ответ дан 9 December 2012 в 21:23

Адресное пространство 192.168.122 обычно используется kvm. Вы можете увидеть больше об этом на сайте libvirt.

libvirt

Там есть вся информация.

0
ответ дан 9 December 2012 в 21:23

Другие вопросы по тегам:

Похожие вопросы: