Thay thế các quy tắc tường lửa của tôi

10

Tôi đã có một tập lệnh init trong nhiều năm để cấu hình iptables cho tôi và nó đã hoạt động như một nhà vô địch cho đến bây giờ. Sau khi nâng cấp từ 10.04 lên 12.04, tôi bắt đầu gặp vấn đề về tường lửa trong đó các quy tắc bị hỏng. Sau khi chơi xung quanh, tôi phát hiện ra rằng một cái gì đó đang đặt ra các quy tắc sau:

Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0            udp dpt:53
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:53
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0            udp dpt:67
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:67

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  0.0.0.0/0            192.168.122.0/24     state RELATED,ESTABLISHED
ACCEPT     all  --  192.168.122.0/24     0.0.0.0/0           
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
REJECT     all  --  0.0.0.0/0            0.0.0.0/0            reject-with icmp-port-unreachable
REJECT     all  --  0.0.0.0/0            0.0.0.0/0            reject-with icmp-port-unreachable

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

ngay cả khi tôi đã vô hiệu hóa hoàn toàn tập lệnh tường lửa của riêng mình. Suy nghĩ đầu tiên của tôi là ufw hoạt động bằng cách nào đó - nhưng không phải:

# ufw status
Status: inactive

Nó có thể có hoặc không liên quan, nhưng tôi chỉ thấy vấn đề này trên các máy tôi đang chạy kvm.

Có ai có con trỏ đến những gì có thể làm điều này và làm thế nào để vô hiệu hóa bất cứ điều gì đang thêm các quy tắc không mong muốn này?

Chỉnh sửa cho những người tìm kiếm điều này trong tương lai: Cuối cùng tôi đã tìm thấy một nguồn chắc chắn liên kết các quy tắc iptables bí ẩn này với libvirt: http://libvirt.org/firewall.html

firewall  iptables  init.d 
Áo tuyết
nguồn

Câu trả lời:

1

Nó có phải là một máy nhiều homed? Có gì trên CIDR 192.168.122.0/24? Có giao diện nghe trên một trong các IP từ trong phạm vi đó không? Có lẽ tôi sẽ cố gắng nhìn vào đầu ra của:

grep -R 192.168.122 /etc

để tìm hiểu xem có bất kỳ cấu hình nào liên quan đến nó không và cũng kiểm tra các mục cron trong / etc / cron *

Marcin Kaminski
nguồn
192.168.122 sắp ra mắt của virbr0 (được tạo bởi KVM). Điều khiến tôi đau đầu nhất là những thay đổi đối với các quy tắc mặc định. Tường lửa của tôi sử dụng DROP mặc định. Các thay đổi sử dụng ACCEPT mặc định. Tôi thường kết thúc với một quy tắc rác trong đó các quy tắc mặc định là của tôi, nhưng các quy tắc cụ thể là ở trên. Kết quả là tường lửa chặn hầu hết mọi thứ.
Snowhare
1

Không gian địa chỉ 192.168.122 thường được sử dụng bởi kvm. Bạn có thể xem thêm về điều này trong trang web libvirt.

sinh nhật

Có tất cả các thông tin.

lucianosds
nguồn
1
Chào mừng bạn đến hỏi Ubuntu! Trong khi điều này về mặt lý thuyết có thể trả lời câu hỏi, tốt hơn là nên bao gồm các phần thiết yếu của câu trả lời ở đây, và cung cấp liên kết để tham khảo.
Braiam
-1

Có thể ufw được kích hoạt khi khởi động, đặt quy tắc và sau đó không hoạt động. Có thể các quy tắc được mã hóa cứng vào tập lệnh init ethernet. Hay của KVM? Tại sao phải quan tâm? Chỉ cần làm cho lệnh iptables không thể truy cập từ root bằng chmodvà chỉ kích hoạt nó trong tập lệnh của bạn.

Barafu bạch tạng
nguồn
Đó không phải là một giải pháp đề xuất tốt. Nó sẽ chỉ che dấu các triệu chứng bằng cách phá vỡ chức năng hệ thống thay vì khắc phục vấn đề tiềm ẩn. Nó giống như đề xuất 'sửa chữa' tín hiệu rẽ bị hỏng trên một chiếc xe không tắt bằng cách kéo cầu chì.
Snowhare
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.