Zamiana moich reguł zapory ogniowej

10

Od wielu lat mam skrypt inicjujący, który konfiguruje dla mnie iptables i do tej pory działał jak mistrz. Po aktualizacji z 10.04 do 12.04 zacząłem mieć problemy z zaporą, w których zestaw reguł był uszkodzony. Po krótkiej zabawie odkryłem, że coś ustanawia następujące zasady:

Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0            udp dpt:53
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:53
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0            udp dpt:67
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:67

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  0.0.0.0/0            192.168.122.0/24     state RELATED,ESTABLISHED
ACCEPT     all  --  192.168.122.0/24     0.0.0.0/0           
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
REJECT     all  --  0.0.0.0/0            0.0.0.0/0            reject-with icmp-port-unreachable
REJECT     all  --  0.0.0.0/0            0.0.0.0/0            reject-with icmp-port-unreachable

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

nawet gdy całkowicie wyłączyłem własny skrypt zapory ogniowej. Moją pierwszą myślą było ufw było jakoś aktywne - ale to nie jest:

# ufw status
Status: inactive

Może to być związane lub nie, ale widziałem ten problem tylko na komputerach, na których uruchamiam kvm.

Czy ktoś ma wskazówki na temat tego, co może to robić i jak wyłączyć dodawanie tych niepożądanych reguł?

Edytuj dla osób szukających tego w przyszłości: w końcu znalazłem źródło, które ostatecznie łączy te tajemnicze reguły iptables z libvirt: http://libvirt.org/firewall.html

firewall iptables init.d Snowhare
źródło

Odpowiedzi:

1

Czy to maszyna z wieloma domami? Co zawiera 192.168.122.0/24 CIDR? Czy istnieje interfejs nasłuchujący na jednym z adresów IP z tego zakresu? Prawdopodobnie spróbowałbym spojrzeć na wynik:

grep -R 192.168.122 /etc

aby dowiedzieć się, czy jest z tym jakaś konfiguracja, a także sprawdź wpisy cron w / etc / cron *

Marcin Kamiński
źródło
192.168.122 pochodzi z virbr0 (utworzonego przez KVM). Najbardziej boli mnie zmiana domyślnych reguł. Moja zapora używa domyślnego DROP. Zmiany używają domyślnej AKCEPTACJI. Zwykle kończę na zestawie śmieci, w którym reguły domyślne są moje, ale szczegółowe reguły są powyższe. Powoduje to, że zapora blokuje prawie wszystko.
Snowhare,
1

Przestrzeń adresowa 192.168.122 jest powszechnie używana przez kvm. Możesz dowiedzieć się więcej na ten temat na stronie libvirt.

libvirt

Zawiera wszystkie informacje.

lucianosds
źródło
1
Witamy w Ask Ubuntu! Chociaż teoretycznie może to odpowiedzieć na pytanie, lepiej byłoby zawrzeć tutaj istotne części odpowiedzi i podać odnośnik.
Braiam
-1

Możliwe, że ufw jest włączony podczas rozruchu, ustawia reguły, a następnie staje się nieaktywny. Być może reguły są zapisane na stałe w skrypcie inicjującym Ethernet. Czy KVM? Dlaczego to obchodzi? Po prostu spraw, aby polecenie iptables nie było uruchamiane z poziomu roota chmodi włącz je tylko w skrypcie.

Barafu Albino
źródło
To nie jest dobre proponowane rozwiązanie. To po prostu maskowałoby objaw, przerywając funkcjonalność systemu, zamiast naprawiać podstawowy problem. To tak, jakby zaproponować „naprawienie” zepsutego kierunkowskazu w samochodzie, który nie chce się wyłączyć, pociągając za bezpiecznik.
Snowhare