Sostituzione delle mie regole del firewall


10

Ho avuto uno script di init per molti anni che configura iptables per me e ha funzionato come un campione fino ad ora. Dopo l'aggiornamento da 10.04 a 12.04 ho iniziato a riscontrare problemi con il firewall in cui i set di regole venivano danneggiati. Dopo alcuni scherzi ho scoperto che qualcosa sta impostando le seguenti regole:

Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0            udp dpt:53
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:53
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0            udp dpt:67
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:67

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  0.0.0.0/0            192.168.122.0/24     state RELATED,ESTABLISHED
ACCEPT     all  --  192.168.122.0/24     0.0.0.0/0           
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
REJECT     all  --  0.0.0.0/0            0.0.0.0/0            reject-with icmp-port-unreachable
REJECT     all  --  0.0.0.0/0            0.0.0.0/0            reject-with icmp-port-unreachable

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         

anche quando ho disabilitato completamente il mio script firewall. Il mio primo pensiero fu che in qualche modo era attivo - ma non lo è:

# ufw status
Status: inactive

Potrebbe essere o non essere correlato, ma ho visto questo problema solo su macchine su cui sto eseguendo kvm.

Qualcuno ha suggerimenti su cosa potrebbe fare questo e su come disabilitare qualunque cosa si stia aggiungendo queste regole indesiderate?

Modifica per chi lo cerca in futuro: ho finalmente individuato una fonte che collega definitivamente queste regole misteriose di iptables a libvirt: http://libvirt.org/firewall.html

Risposte:


1

È una macchina multi-homed? Cosa c'è nel 192.168.122.0/24 CIDR? Esiste un'interfaccia in ascolto su uno degli IP all'interno di tale intervallo? Probabilmente proverei a guardare l'output di:

grep -R 192.168.122 /etc

per scoprire se c'è qualche configurazione ad esso correlata e controllare anche le voci cron in / etc / cron *


192.168.122 sta venendo fuori da virbr0 (creato da KVM). Ciò che mi sta causando più mal di testa sono le modifiche alle regole predefinite. Il mio firewall utilizza DROP predefinito. Le modifiche utilizzano ACCETTA predefinito. Di solito finisco con un set di regole di immondizia in cui le regole predefinite sono le mie, ma le regole specifiche sono le precedenti. Il risultato è che il firewall blocca quasi tutto.
Snowhare

1

Lo spazio degli indirizzi 192.168.122 è comunemente usato da kvm. Puoi vedere di più su questo nel sito libvirt.

libvirt

C'è tutte le informazioni.


1
Benvenuto in Ask Ubuntu! Sebbene ciò possa teoricamente rispondere alla domanda, sarebbe preferibile includere qui le parti essenziali della risposta e fornire il collegamento come riferimento.
Braiam,

-1

Potrebbe essere ufw abilitato all'avvio, imposta le regole e quindi diventa inattivo. Può essere che le regole siano codificate nello script di inizializzazione Ethernet. O di KVM? Perché preoccuparsene Rendi il comando iptables non eseguibile dalla radice con chmode abilitalo solo nel tuo script.


Questa non è una buona soluzione proposta. Si limiterebbe a mascherare il sintomo rompendo la funzionalità del sistema piuttosto che risolvere il problema sottostante. È come proporre di "riparare" un segnale di svolta rotto su un'auto che non si spegne tirando la miccia.
Snowhare,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.