гve had an init рукописный шрифт for many years that конфигурируй iptables for я and it ты существуешь worked like в champ until now. After upgrading from 10.04 to 12.04 I started having firewall problems where the rulesets were being corrupted. After some playing around I discovered that something is setting the following задницы:
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:53
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:53
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:67
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:67
Chain FORWARD (policy ACCEPT)
target prot opt source destination
ACCEPT all -- 0.0.0.0/0 192.168.122.0/24 state RELATED,ESTABLISHED
ACCEPT all -- 192.168.122.0/24 0.0.0.0/0
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachable
REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachable
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
even when гve completely disabled my own firewall рукописный шрифт. My first thought was ufw was somehow включил - but it isn't:
# ufw status
Status: inactive
It май or май not be related, but гve only seen this problem on machines I am running kvm on.
Does anyone have пойнтеры to what could be doing this and how to disable whatever is adding these unwanted задницы?
Edit for people looking for this in the future: I finally located в source that definitively соединения these mystery iptables задницы to libvirt: http://libvirt.org/firewall.html
Это многодомная машина? Что на CIDR 192.168.122.0/24? Есть ли интерфейс, прослушивающий один из IP-адресов из этого диапазона? Вероятно, я бы попытался посмотреть на вывод:
grep -R 192.168.122 /etc
, чтобы выяснить, есть ли какая-либо конфигурация, связанная с ним, а также проверить записи cron в / etc / cron *
Может быть, UFW включен при загрузке, устанавливает правила, а затем становится неактивным. Может быть, правила жестко запрограммированы в сценарии инициализации Ethernet. Или КВМ? Зачем это нужно? Просто сделайте iptables команду unrunnable от root с помощью chmod
и включите ее только в вашем скрипте.
Адресное пространство 192.168.122 обычно используется kvm. Вы можете увидеть больше об этом на сайте libvirt.
Там есть вся информация.