방화벽 규칙 교체

나는 몇 년 동안 iptables를 구성하는 init 스크립트를 가지고 있었고 지금까지 챔피언처럼 작동했습니다. 10.04에서 12.04로 업그레이드 한 후 규칙 세트가 손상된 방화벽 문제가 발생하기 시작했습니다. 놀다가 무언가 가 다음 규칙을 설정 한다는 것을 발견했습니다 .

Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0            udp dpt:53
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:53
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0            udp dpt:67
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:67

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  0.0.0.0/0            192.168.122.0/24     state RELATED,ESTABLISHED
ACCEPT     all  --  192.168.122.0/24     0.0.0.0/0           
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
REJECT     all  --  0.0.0.0/0            0.0.0.0/0            reject-with icmp-port-unreachable
REJECT     all  --  0.0.0.0/0            0.0.0.0/0            reject-with icmp-port-unreachable

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         

내 방화벽 스크립트를 완전히 비활성화 한 경우에도 마찬가지입니다. 내 첫 번째 생각은 ufw가 어떻게 든 활성화되었다는 것입니다.

# ufw status
Status: inactive

관련이있을 수도 있고 아닐 수도 있지만 kvm을 실행하는 컴퓨터에서만이 문제를 보았습니다.

누구 든지이 일을 할 수있는 것에 대한 포인터를 가지고 있으며 이러한 원치 않는 규칙을 추가하는 것을 비활성화하는 방법은 무엇입니까?

미래에 이것을 찾는 사람들을 위해 편집하십시오 : 나는 마침내이 미스터리 iptables 규칙을 libvirt에 결정적으로 연결하는 출처를 찾았습니다 : http://libvirt.org/firewall.html

멀티 홈 머신입니까? 192.168.122.0/24 CIDR은 무엇입니까? 해당 범위 내에서 IP 중 하나에서 수신 대기하는 인터페이스가 있습니까? 아마도 다음과 같은 결과를 보려고합니다.

grep -R 192.168.122 /etc

관련된 구성이 있는지 확인하고 / etc / cron *에서 cron 항목을 확인하십시오.

주소 공간 192.168.122는 kvm에서 일반적으로 사용됩니다. libvirt 사이트에서 이에 대한 자세한 내용을 볼 수 있습니다.

libvirt

모든 정보가 있습니다.

부팅시 ufw가 활성화되어 규칙을 설정 한 다음 비활성화 될 수 있습니다. 규칙이 이더넷 초기화 스크립트에 하드 코딩되어있을 수 있습니다. 아니면 KVM? 왜 신경써? 루트로 iptables 명령을 실행할 수 없도록 chmod설정하고 스크립트에서만 활성화하십시오.