替换我的防火墙规则
我有一个多年的init脚本为我配置了iptables,直到现在它一直像冠军一样工作。 从10.04升级到12.04后,我开始遇到防火墙问题,其中规则集已被破坏。 经过一番游戏,我发现有些事情正在制定以下规则:
Chain INPUT (policy ACCEPT) target prot opt source destination ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:53 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:53 ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:67 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:67 Chain FORWARD (policy ACCEPT) target prot opt source destination ACCEPT all -- 0.0.0.0/0 192.168.122.0/24 state RELATED,ESTABLISHED ACCEPT all -- 192.168.122.0/24 0.0.0.0/0 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachable REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachable Chain OUTPUT (policy ACCEPT) target prot opt source destination 即使我完全禁用了我自己的防火墙脚本。 我的第一个想法是ufw以某种方式活跃 – 但它不是:
# ufw status Status: inactive
它可能相关也可能不相关,但我只在运行kvm的机器上看到了这个问题。
有没有人指出可以做到这一点以及如何禁用添加这些不需要的规则的内容?
编辑为将来寻找这个的人:我最终找到了一个明确将这些神秘iptables规则链接到libvirt的源: http : //libvirt.org/firewall.html
它是一台多宿主的机器吗? 什么是192.168.122.0/24 CIDR? 是否有接口侦听该范围内的其中一个IP? 我可能会尝试查看输出:
grep -R 192.168.122 /etc
找出是否有任何与之相关的配置,并检查/ etc / cron *中的cron条目
地址空间192.168.122通常由kvm使用。 你可以在libvirt网站上看到更多相关信息。
libvirt的
有所有信息。
可能是ufw在启动时启用,设置规则然后变为非活动状态。 可能是规则被硬编码到以太网init脚本中。 还是KVM的? 为何关心? 只需使用chmod使root命令无法从root用户运行,并仅在脚本中启用它。